WEB项目SESSIONID固定漏洞

最新推荐文章于 2024-01-23 23:07:44 发布
最新推荐文章于 2024-01-23 23:07:44 发布
阅读量6.3k 收藏
点赞数
分类专栏: WebSecurity 文章标签: WebSecurity session web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pxg943055021/article/details/55188857
版权

问题场景


访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId


在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞


攻击步骤


第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESSIONID,使其用该JESSIONID登录,获取用户登录后的JESSIONID。(这里作为示范,直接从浏览器中获取)
第二步,等被攻击用户登录,是JESSIONID成为已登录状态。
第三步,伪造请求,访问登录后的资源。
在用户登录使该JSESSIONID称为已登录的ID后,攻击者就可以利用这个ID伪造请求访问登录后的资源。


漏洞分析处理

出现该问题的主要原因是登录控制使用的固定的SessionID,登录前与登录后的SessionID是一样的。这样就使得攻击者可以简单的伪造一个SessionID诱使用户使用该SessionID登录,即可获取登录权限。如果配合XSS漏洞,则更加可以轻易获取登录权限。避免这一漏洞的方法主要有两种:
1.在登录后重置sessionID
在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。

request.getSession().invalidate();
这样登录前与登录后的sessionID就不会相同

2.设置httpOnly属性
httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
主流的大多数浏览器已经支持此属性。httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat,>6.0.19或者>5.5.28的版本才支持httpOnly属性,具体方法是在conf/context.xml添加httpOnly属性设置 

<Context useHttpOnly="true">
...
</Context>

另一种设置httpOnly的方式是使用Tomcat的servlet扩展直接写header

response.setHeader( "Set-Cookie", "name=value; HttpOnly");

以上两种方法就可以避免SESSIONID固定漏洞被利用

扶朕去网吧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
php session 会话固定漏洞
02-27
本书详细阐述了php中的session会话固定漏洞可能引发的安全问题,叙述了php代码审计的一些tips。
一文让你彻底搞懂cookie和session产生漏洞的原理
最新发布
carrot11223的博客
01-23 762
这种再次请求的时候,cookie里面就不会再出现敏感值,但是存在sessionid的值,一个sessionid对应一个sessionsession可以理解为打电话,如果一方挂断了电话,就结束了本次通话,当第二次用另一个浏览器进行访问的时候(另外一次电话连接),sessionid就已经变了,不同的电话连接有不同的session,既然cookie可以进行cookie伪造,那session可以嘛?那盗取又是什么意思呢?可以看到无论是cookie还是session都可以进行身份验证,只是储存的位置不一致。
Java Web基于Session的登录实现方法
09-03
主要介绍了Java Web基于Session的登录实现方法,涉及Java针对session的操作及表单提交与验证技巧,具有一定参考借鉴价值,需要的朋友可以参考下
生成sessionid和随机密码的例子
01-20
用这个可以来验证用户和生成随机密码–teaman <?         //—————————————————-         // Function GetSID()         //         // Parameters : $nSize number of caracters, default 24         // Return value : 24 caracters string         //         // Description : This function returns a random string         // of 24 car
Web安全-会话ID漏洞
道阻且长,行则将至。
07-07 3368
概述 以下摘自《白帽子讲 web 安全》 密码与证书等认证手段,一般仅仅用于登录(Login)的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时,都再使用密码认证一次。因此,当认证完成后,就需要替换一个对用户透明的凭证。这个凭证就是SessionID。 当用户登陆完成后,在服务器端就会创建一个新的会话(Session),会话中会保存用户的状态和相关信息。服务器端维护所有在线用户的...
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1338
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
JSP中利用cookie实现session伪装
铁甲依然在!
01-09 331
JSP中利用cookie实现session伪装 jsp代码 session.setAttribute("hello", "你好!"); Cookie[] cookies = request.getCookies(); if(cookies!=null){ for(Cookie cookie : cookies){ out.print("<h1>"+cookie.getNam...
CSRF攻击的解释
qq_45948401的博客
12-16 130
CSRF的相关解释
jsessionid问题解决方案
u011277123的博客
11-25 2924
bigdatafish 2016-11-24 17:31 jessionid会话盗用漏洞,现在是两种方案: 1. 方案一:用户IP和用户会话绑定,目前F5代理后获取不到真实机器的IP , 2.方案二:判断jessionid来源,如果来源URL,就做403界面重定下,拒绝访问,目前方案一获取不到IP地址,只能用方案测试。 代码如下: package com.tydic.db
PHP Session_Regenerate_ID函数双释放内存破坏漏洞
10-28
PHP Session_Regenerate_ID函数存在双释放内容破坏问题,远程攻击者可利用此漏洞对应用程序进行拒绝服务攻击,可能导致任意指令执行。
Apache Shiro 1.2.4反序列化漏洞复现
weixin_48739941的博客
04-21 480
(1) cd vulhub/shiro/CVE-2016-4437 切换目录。 (2)docker-compose up -d 启动。 (3)访问: http://192.168.43.128:8080/login;jsessionid=F8C504BD06F484504DDCD30D7410DABF (4)打开ShiroExploit.jar:java -jar .\ShiroExploit.jar,添加受害网站路径: http://192.168.43.128:8080/login
java防止session伪造攻击_spring security防御会话伪造session攻击
weixin_31889919的博客
02-13 686
1.攻击场景session fixation会话伪造攻击是一个蛮婉转的过程。比如,当我要是使用session fixation攻击你的时候,首先访问这个网站,网站会创建一个会话,这时我可以把附有jsessionid的url发送给你。http://unsafe/index.jsp;jsessionid=1pjztz08i2u4i你使用这个网址访问网站,结果你和我就会公用同一个jsessionid了...
jsessionid释疑解惑
snakeqi的专栏
03-03 5241
web应用的开发中我们会经常看到这样的url:http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=x...。这跟一般的url基本一样,只有一个地方有区别,那就是“;jessionid=xxxxxxxx”。这个参数有时候有,有时候又没有,说它是参数可又跟一般传递的参数不同,它是紧跟在url后面用分号来分隔的,用一般的request.getP
java开发中替换cookie越权,在JSESSIONID cookie中设置httponly(Java EE 5)
weixin_35225144的博客
02-26 1222
I'm trying to set the httponly flag on the JSESSIONID cookie. I'm working in Java EE 5, however, and can't use setHttpOnly(). First I tried to create my own JSESSIONID cookie from within the servlet...
web漏洞--会话管理漏洞
xsh951103的博客
01-07 2605
目录 1.会话劫持 2.会话固定 1.会话劫持 1.概念 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 2.攻击步骤 目标用户需要先登录站点 登录成功后,该用户会得到站点提供的一个会话标识SessionID 攻击者通过某种攻击手段捕获Session ID 攻击者通过捕获到的Se..
解决websession替换垂直越权
05-25
垂直越权是指攻击者通过修改参数或请求来获取比自己权限高的资源或功能。在Web应用程序中,Session替换是一种常见的垂直越权攻击方式,攻击者可以通过截取Session ID并将其插入到另一个用户的会话中,从而获得特权访问。 为了防止Session替换攻击,可以采取以下措施: 1. 使用HTTPS协议传输Session ID,这样可以避免Session ID被截取。 2. 在服务器端,使用随机生成的Session ID,并将Session ID存储在服务器端的数据存储区中,而不是在Cookie中存储Session ID。 3. 在每个请求中验证Session ID是否与服务器端存储的Session ID相匹配。如果不匹配,则认为是Session替换攻击。 4. 在登录时,记录用户的IP地址和浏览器类型等信息,并在每个请求中进行验证。如果发现IP地址或浏览器类型等信息与登录时不一致,则认为是Session替换攻击。 5. 对于一些敏感操作,可以要求用户输入密码或其他验证信息,以确保用户的身份。 这些措施可以有效地防止Session替换攻击。但是,为了确保应用程序的安全性,还需要定期审查代码和服务器配置,以发现潜在的漏洞并及时修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

扶朕去网吧

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值