登陆验证前更新session 会话标识未更新

最新推荐文章于 2024-04-19 17:06:02 发布
最新推荐文章于 2024-04-19 17:06:02 发布
阅读量4.9k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuchang840302/article/details/81215437
版权

会话标识未更新
严重性: 中
CVSS 分数: 6.4
URL: http://127.0.0.1/test/j_unieap_security_check.do
实体: j_unieap_security_check.do (Page)
风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
原因: Web 应用程序编程或配置不安全
固定值: 登录之后更改会话标识符值
推理: 测试结果似乎指示存在脆弱性,因为“原始请求”和“响应”中的会话标识相同。这些标志应该已在响
应中更新。

登陆验证前更新session

package com.neusoft.education.mepec.filter;

import java.io.IOException;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Map.Entry;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import com.neusoft.unieap.config.SystemConfig;

public class NewSessionFilter implements Filter {
    
    private Log log = LogFactory.getLog(SystemConfig.logCatagroy);
    
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        if (request instanceof HttpServletRequest) {
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            if (httpRequest.getSession() != null) {
                log.debug("old Session:" + httpRequest.getSession().getId());
                HttpSession session = httpRequest.getSession();
                HashMap<String, Object> old = new HashMap<String, Object>();
                Enumeration<String> keys = session.getAttributeNames();
                while (keys.hasMoreElements()) {
                    String key = (String) keys.nextElement();
                    old.put(key, session.getAttribute(key));
                    session.removeAttribute(key);
                }
                
                if (!httpRequest.getSession().isNew()){
                    session.invalidate();
                    session = httpRequest.getSession(true);
                    log.debug("new Session:" + session.getId());
                }

                for (Iterator<Entry<String, Object>> it = old.entrySet().iterator(); it.hasNext();) {
                    Map.Entry<String, Object> entry = (Map.Entry<String, Object>) it.next();
                    session.setAttribute((String) entry.getKey(), entry.getValue());
                }
            }
        }
        chain.doFilter(request, response);
    }
    
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("NewSessionFilter init");
    }

    @Override
    public void destroy() {

    }
    
    public NewSessionFilter() {
        System.out.println("NewSessionFilter");
    }

}

 

LEO主人
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
会话标识更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以的那个session(事实上session也确实不
Session的一些重要特点
派拉斯兔子的博客
05-01 1445
Session的一些特点1. 当客户端关闭时,在服务器关闭、后,获取session是否为同一个?2. 客户端不关闭,在服务器关闭后,两次获取的session是同一个吗?3. session的失效时间? 1. 当客户端关闭时,在服务器关闭、后,获取session是否为同一个? 1.1 默认情况下,不是同一个session。 ①。在cn.itcast.session包下创建SessionDemo3...
session会话固定攻击的理解
ITWANGBOIT的博客
10-27 2598
提 浏览器端的sessionId和服务器端的session是对应的,在两者都不过期的情况下,他们之间的对应关系是不变的;黑客就是利用这一特性,将自己的sessionId发给系统的信任用户,当信任用户登录系统后,就可以把该sessionId对应的session变成完成认证的状态;这样以来,系统就把黑客当成了那个信任用户了。 举例 会话固定攻击的流程是这样的,以淘宝为例: 攻击者自己可以正常访问淘宝网站,在访问的过程中,淘宝网站生成了一个session,并把sessionId返回给攻击者。 攻击者利
服务端安全测试用例设计
最新发布
软件测试小dao
04-19 707
服务端安全测试用例设计,涵盖检查项解读、检查点、工具推荐、测试方法、预期结果或建议。
会话Session)固定
:)每天进步一点点
09-29 6140
会话(Session)固定   会话安全是一个复杂的话题,会话经常是攻击的目标也没有什么奇怪的。多数会话攻击都是通过攻击者模拟另外一个用户发送数据实现的。   对于攻击者决定性的信息是会话标识,任何伪装的攻击都需要这个。有三个方法获得合法的会话标识:   预测   劫持   固定   预测依赖猜测合法的会话标识。根据 PHP 的会话原理,会话标识是相当随机的,这不大可能是薄弱环节。
Session会话标识更新问题
qq_36468169的博客
07-09 2542
我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以的那个session(事实上session也确实不会改变,因为没有建立新session,原来的ses...
【转】对session和cookie的一些理解
zaife的专栏
12-11 194
转自: [url]http://www.blogjava.net/cheneyfree/archive/2007/05/26/120168.html[/url] 由于项目需要,最近用session容器比较多,传载的同时加上了自己的一些理解,不足之处还请大家补充和纠正。 一、cookie机制和session机制的区别 ********************************...
微信小程序保持session会话的方法
11-21
在传统的Web应用中,Session ID通常通过Cookie存储在客户端,以维持用户会话。然而,微信小程序不支持Cookie,导致每次请求都被视为新的会话,这使得保持用户状态成为一个挑战。为了解决这个问题,我们可以采用两种...
PHP通过session id 实现session共享和登录验证的代码
01-21
用户通过登录服务器登录之后,登录服务器保存了用户的登录信息session,而其他受访问的服务器,例如电影服务器没有这个session,那么我们就要通过一个session的唯一标识来共享这个session了——具体session的共享...
登录验证完整版(servlet及session技术支持)
11-20
在这个“登录验证完整版(servlet及session技术支持)”项目中,我们主要关注的是使用Servlet和Session来实现这一功能。Servlet是Java服务器端编程的基础,而Session则是一种在HTTP无状态协议上维护用户会话状态的...
Java web过滤器验证登录防止登录进入界面
09-01
在本场景中,我们关注的是如何使用过滤器来验证用户是否已经登录,以防止授权的访问。以下是实现这一功能的详细步骤和知识点: 1. **创建过滤器类**: 首先,我们需要创建一个自定义的过滤器类,该类需要实现`...
session会话技术
04-30
在Web开发中,session会话技术是实现用户状态跟踪的关键机制。JSP(Java Server Pages)作为Java平台上的动态网页技术,内置了对session的支持,使得开发者可以方便地管理和操作用户的会话数据。本文将深入探讨...
[转]httpSession的正确理解
akalius的专栏
01-05 1878
关于HttpSession的误解实在是太多了,本来是一个很简单的问题,怎会搞的如此的复杂呢?下面说说我的理解吧: 一个session就是一系列某用户和服务器间的通讯。服务器有能力分辨出不同的用户。一个session的建立是从一个用户向服务器发第一个请求开始,而以用户显式结束或session超时为结束。 其工作原理是这样的: 1.当一个用户向服务器发送第一个请求时,服务器为其建立一个sessi...
java web登录后改变sessionId标示的安全性问题解决
bug_easy的博客
01-07 3713
在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话sessionId,这样这个授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。 一、在解决该问题之,需要了解session会话的创建,session的创建方式主要有以...
Cookie和Session
weixin_30304375的博客
08-24 169
Cookie: 1、概念:客户端会话技术,将数据保存到客户端。 2、使用步骤:(1)、创建Cookie对象,绑定Cookie----new Cookie;  (2)、发送Cookie对象----response.addCookie(Cookie cookie);  (3)、获取Cookie拿到数据----Cookie[] request.getCookies(); 3、实现原理:...
session的概念特点及原理
七一
07-31 3104
1.概念: 服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。HttpSession 2.快速入门: 1.获取HttpSession对象: HttpSession session = request.getSession(); 2.使用HttpSession对象: Object getArribute(String name) void setAttribute(String name,Object value) void removeAttribute(String name
安全测试知识
m0_51482664的博客
05-21 143
测试用例评审记录 测试人员 需求名称 用例数 测试要点 疑问点 解决方案 Appcsan WASC威胁分类(中文)安全风险 URL 当级别(High/ Medium/Low/Info)原始级别 bug一般会进行分类(日志伪造攻击数量X个,上传下载攻击 X个,XML注入攻击X个,其他 bug x个) 一、认证会话 系统应支持“限制或禁止同一用户同时建立多个会话”的功能若同一账号的第二次登录建立会话,系统可以注销一次的会话或者拒绝当登录并给出账号已登录的提示。若系统因业务需求需要支持同一账号同一时刻多处
常用的web安全处理
weixin_33889665的博客
08-03 101
1:用户名和密码认证通过后,必须更换会话标识,以防止会话固定(session fixation)漏洞。 实施指导: 在用户名和密码认证通过后增加以下两行代码: request.getSession().invalidate(); request.getSession();   2:验证码字符串要求是随机生成,生成的随机数必须是安全的。 说明:对于jav...
JavaEE会话管理:Cookie与Session详解
1.1节介绍了会话管理的基本概念,强调了其在购物车、登录验证等场景中的重要作用,即在客户端与服务器之间共享数据。会话可以分为客户端会话管理和服务端会话管理两大类。 客户端会话管理,如Cookie,是常用的一种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值