JAVA年度安全 第三周 SESSION COOKIE SECURE 标识

最新推荐文章于 2024-01-15 09:56:37 发布
最新推荐文章于 2024-01-15 09:56:37 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: security 文章标签: session java cookies servlet 服务器 加密

http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/ 

What is it and why do I care ?

Session cookies (或者包含JSSESSIONIDcookie)是指用来管理web应用的session会话的cookies.这些cookie中保存特定使用者的session ID标识,而且相同的session ID以及session生命周期内相关的数据也在服务器端保存。在web应用中最常用的session管理方式是通过每次请求的时候将cookies传送到服务器端来进行session识别。

你可以设置附加的secure标识来提示浏览器只能通过Https(加密方式)方式来传输cookieHttp(未加密方式)方式则不可以。这种方式来保证你的session cookie对于攻击者是不可见的,避免中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击。这并不是一个完美的session安全管理方案,却是一个重要的步骤。

what should I do about it 

应对方法很简单。你必须在session cookie添加secure标识(如果有可能的话最好保证请求中的所有cookies都是通过Https方式传输)

如下是示例:未添加secure标识的session cookie-可能会被泄露

Cookie: jsessionid=AS348AF929FK219CKA9FK3B79870H;

添加secure标识:

Cookie: jsessionid=AS348AF929FK219CKA9FK3B79870H; secure;

方式很简洁。你可以甚至可以手工设置这个标识,如果你在Servlet3或者更新的环境中开发,只需要在web.xml简单的配置来实现。你只要在web.xml中添加如下片段:

<session-config>
  <cookie-config>
    <secure>true</secure>
  </cookie-config>
</session-config>



如你所见,解决这个问题很简单。每个人都应该解决这个问题。

References

http://blog.mozilla.com/webappsec/2011/03/31/enabling-browser-security-in-web-applications/http://michael-coates.blogspot.com/2011/03/enabling-browser-security-in-web.htmlhttps://www.owasp.org/index.php/SecureFlag

wavefly_liu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
01.安全扫描之解决Cookie未设置Secure标识问题
bigdata_li的博客
01-10 1万+
1.问题描述 cookie未设置Secure标识Cookie有一个Sevure标识,如果设置了,那么这个cookie只会再https下被发送出去,https的传输时加密的,减少敏感cookie再http明文传输时泄露的可能性 2.解决方案 在web.xml添加一个对controller的过滤器 <filter> <filter-n...
general 未设置cookieSecure标志位
tone1128的博客
07-13 846
【代码】general 未设置cookieSecure标志位。
【漏洞修复】--nginx为Cookie添加Secure标记
u012429202的博客
07-31 2958
如上配置,在全局server添加:proxy_cookie_path / "/;在https环境,等保要求为 set-cookie增加secure属性(为了安全,防止http请求时使用此cookie)检查“Response Headers”(或类似名称),查找名为“Set-Cookie”的响应头。打开浏览器的开发者工具(通常是按下F12键),切换到“Network”或“网络”选项卡。在开发者工具,选择与您访问的网站对应的请求(通常是网站首页的请求)。访问您配置了添加Secure标记的网站。
会话Cookies未被标记为HTTPOnly /Secure
weixin_45596492的博客
03-24 8671
会话Cookies未被标记为HTTPOnly 漏洞描述 如果在cookie上设置了HttpOnly属性,那么cookie的值就不能被客户端的JavaScript读取或设置。这项措施使某些客户端攻击(如跨站点脚本)更难被利用,因为它防止了客户端攻击通过注入脚本来获取cookie的值。 漏洞影响 如果cookie未设置HttpOnly属性,可能会很轻易的被诸如 XSS 这类攻击所窃取。 修复建议 通常建议对所有的cookie都设置HttpOnly标志。 除非你特别要求在你的应用程序,通过合法的
记录一个等保二的项目的漏洞处理
Admans的专栏
07-07 1855
Clickjacking是一种恶意技术,它诱骗 Web 用户点击与用户认为他们正在点击的内容不同的东西,从而可能泄露机密信息或控制他们的计算机,同时 点击看似无害的网页。此外,当用于保护传入或传出网站的敏感信息时,TLS 1.0 不被视为 PCI 数据安全标准 3.2(.1) 定义和要求的“强加密”。Visual Studio 使用此标头的值来确定正在使用的 ASP.NET 版本。找到网站根目录下的Web.config文件,用记事本打开,将 debug 属性更改为 false 以禁用该应用程序的调试。
javaCookie被禁用后Session追踪问题
01-01
一.服务器端获取Session对象依赖于客户端携带的Cookie的JSESSIONID数据。...在 Session1Servlet,使用response.encodeURL(url) 对超链接路径拼接 session的唯一标识 // 当点击 的时候跳转到 sess
JAVA通过SessionCookie实现网站自动登录的技术
10-25
JAVA通过SessionCookie实现网站自动登录的技术
Java Web学习之CookieSession的深入理解
08-27
"Java Web学习之CookieSession的深入理解" 以下是Java Web学习之CookieSession的相关知识点: 一、Cookie机制: * Cookie是保存在客户端的临时文件夹,用于保存用户状态信息。 * Cookie机制采用的是在客户端...
session配置secure和httpOnly
03-16
2. 使用Filter实现:自定义Filter,捕获请求,检查是否为安全连接,然后在响应头设置`Set-Cookie`,包括`secure`和`HttpOnly`标志,以强制浏览器遵循安全策略。 总之,`secure`和`httpOnly`属性对于提高Web应用的...
java cookie secure,在Java Web应用程序为设置cookie添加httponly和secure标志
weixin_29204205的博客
02-16 799
I want to add the httponly and secure flags for Cookies. To implement it, I am using Filters which are configured in web.xml.The code for adding flags is as below:package com.crisil.dbconn;import jav...
Java Web 应用 Cookie 安全指南
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
04-29 513
Java Web 应用,如果没有对 JESSIONID 这类 Cookie 信息设置 httpOnly 属性,会有什么风险呢?不同服务器对该属性的支持情况如何?登录成功后会话 ID 不变有问题吗?本文将介绍这些关于 Cookie 的问题。
安全问题-Cookie未设置HttpOnly&&Cookie未设置Secure标识
热门推荐
大河向东流的博客
10-24 1万+
阿里机测的系统漏洞(懒得打字,给报告部分截图): 问题解决: 过滤器处理一下就行了 CookieFilter.java import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Calendar; import java.util.Date; import java.util.Local...
会话Cookie未设置Secure属性漏洞
最新发布
my的博客
01-15 2485
服务器端保存在浏览器端的数据片段,以key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的cookie数据。网站经常使用这个技术来识别用户是否登陆等功能。:当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。:如果在Cookie设置了HttpOnly属性,那么通过程序(JS脚本、Applet等)将无法读取到。
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
enjoy.day
02-09 3158
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
增加 cookie 安全性添加HttpOnly和secure属性
轻描淡写
10-12 5011
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读...
AppScan扫描漏洞(等):加密会话(SSL)Cookie 缺少Secure属性
weixin_42249908的博客
05-31 2272
AppScan扫描漏洞(等):加密会话(SSL)Cookie 缺少Secure属性
JavaWeb---CookieSession
鹤鸣呦呦、、的博客
08-03 778
什么是CookieSession,常用方法是什么,CookieSession有什么区别,一篇文章带你了解CookieSession
加密会话(SSL)Cookie缺少Secure属性解决方案
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话(SSL)Cookie缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
cooiek的Secure属性设置
m0_61560589的博客
10-11 2107
cooiek有两个需要把Secure属性为true,是在拦截器的地方设置Secure属性为true,Secure默认值就是false,获取到cooiek要的值,把Secure=true,在给到document.cookie。//cookie的保留时间为一天。* @param {String} name 给你要设置的cookie起个名字(key)* @param {String} value cookie的具体内容(value)// 设置cookie。// 获取cookie。//删除cookie
Java核心技术:CookieSession解析及TCP三次握手
"Java常见考点包括CookieSession的对比、TCP协议的理解以及TCP三次握手的过程。" 在Java Web开发CookieSession是两种常见的用户会话管理机制,它们各有特点: 1. **Cookie** - Cookie是客户端存储的数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值