对会话标识未更新的处理

最新推荐文章于 2022-07-27 17:55:31 发布
最新推荐文章于 2022-07-27 17:55:31 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 技术实现点 文章标签: 安全 sessioncookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27328169/article/details/52635040
版权

解决一个会话标识未更新的安全问题,网上的办法不尽能完全解决,最后这样搞了,记录一下。

             

网上看到的解法,首页加了段:

//废弃登陆前的会话
if(request.getSession(false) != null){ 
request.getSession(false).invalidate();
}
Cookie[] cookies = request.getCookies();
if(cookies != null){
// out.println(cookies[0].getName() + "===>" + cookies[0].getValue());
cookies[0].setMaxAge(0);
response.addCookie(cookies[0]);

但是不是所有的都搞定了,于是搞了个过滤器,这个过滤器的原理是:让原来的会话过期,拿到新生成的会话,获取其sessionid,付给会话标识cookie,有时候可能要用原会话里的属性,于是又把原会话里的属性复制到新会话里。


public class SessionIDChangeFilter implements Filter {


    /**
     * Default constructor. 
     */
    public SessionInvalidateFilter() {
        
    }


public void destroy() {

}


/**
* @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
*/
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
HttpServletResponse httpResponse = (HttpServletResponse) response;
//中转用的map
Map<String,Object> attributeMap = new HashMap<String,Object>();

HttpSession oldSession = httpRequest.getSession(false);
if(oldSession != null){
//复制老会话里的属性到中转map
Enumeration<String> attributeNames = oldSession.getAttributeNames();
String tem = null;
while(attributeNames.hasMoreElements()){
tem = attributeNames.nextElement();
attributeMap.put(tem, oldSession.getAttribute(tem));
}
//废弃老的会话
oldSession.invalidate();
}

HttpSession newSession = httpRequest.getSession(true);
Cookie[] cookies = httpRequest.getCookies();

//map里值copy到新session里
for(String key : attributeMap.keySet()){
newSession.setAttribute(key, attributeMap.get(key));


}
//新session的标识发给标识cookie
if(cookies != null){
for(Cookie c : cookies){
if(c.getName().equals("JSESSIONID")){
System.out.println(c.getValue());
c.setValue(newSession.getId());
httpResponse.addCookie(c);
System.out.println(c.getValue());
}
}
}


chain.doFilter(httpRequest, httpResponse);
}


public void init(FilterConfig fConfig) throws ServletException {

}
}

qq_27328169
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
会话标识更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
WEB安全实战(七)会话标识更新
热门推荐
紫羽风的博客
12-23 1万+
序 上一篇文章中,我们讨论了关于“浏览器记住用户名和密码”的问题,至于这篇文章嘛,我想谈谈关于“会话标识”的漏洞。而且,这篇文章也是“Web安全实战”系列的最后一篇。为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均找到合适的解决方案。其中的过程就不再废话了,转到正题。
会话标识更新 java_java或者jsp中修复会话标识更新漏洞
weixin_39884412的博客
02-13 154
appscan扫描出来的。1. 漏洞产生的原因:AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。2.AppScan中,对“会话标识更新”提供了修改建议:一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵...
会话标识更新
dieman0446的博客
06-12 234
会话标识更新 可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因Web 应用程序编程或配置不安全技术描述 在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话。通常在以下情况下会观察到这样的场景: [1] Web 应用程序在没有首先废除现有...
会话标识更新 java_IBM Security Appscan漏洞--会话标识更新
weixin_27153203的博客
02-22 185
可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使***能够以该用户身份查看或变更用户记录以及执行事务 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”...
Struts2解决更新会话标识
07-16
- "会话标识更新问题 - yutan_313的专栏 - 博客频道 - CSDN.NET.mht":这个文件可能包含了作者yutan_313对会话标识更新问题的详细分析和解决方案,可能包括具体的代码示例和调试步骤。 - "STRUTS2获得session和...
JS Ajax请求会话过期处理问题解决方法分析
10-15
如果发现会话过期,可以在响应头中添加一个自定义的标识,如"SessionStatus",并设置值为"sessionTimeOut"。同时,返回一个特定的状态码,如401,以表明会话已过期。以下是一个Java示例: ```java try { String ...
一个php类用于处理cookie会话.zip
07-11
这个名为"一个php类用于处理cookie会话"的压缩包文件提供了一个PHP类,帮助开发者更方便、高效地管理和操作CookieSession。下面将详细讲解关于CookieSession的基本概念,以及如何使用PHP类来处理它们。 首先,...
微信支付获取预支付交易会话标识prepay_id完整代码
12-29
在微信支付过程中,获取预支付交易会话标识`prepay_id`是至关重要的一步,它在微信支付的流程中起到桥梁的作用,连接了商家服务端和客户端(App、H5等)的支付交互。`prepay_id`是在调用微信支付接口前必须获取的...
会话管理到故障异常处理.docx
最新发布
04-25
- **会话超时**:设置合理的会话超时时间,既能保证安全性,防止长时间使用的连接占用资源,又不会过于频繁地断开会话,影响用户体验。超时时间可以根据应用需求和设备特性进行调整。 - **负载均衡**:在高并发...
WEB安全漏洞之会话标识更新漏洞(.net强制更新会话标识
yinshengchen的博客
07-27 671
【代码】WEB安全漏洞之会话标识更新漏洞(.net强制更新会话标识
浅谈“会话标识更新漏洞”
→_→
07-25 1516
一:漏洞名称: 会话操纵、会话标识更新 描述: 会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 检测条件: 已知Web网站地址 Web业务运行正常 Web业务存在登陆认证模块 已知正确的
java或者jsp中修复会话标识更新漏洞
03-21 115
appscan扫描出来的。 1. 漏洞产生的原因: AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。 2.AppScan中,对“会话标识更新”提供了修改建议: 一般修订建议 始终生成新的会话,供用户成...
WEB安全漏洞之会话标识更新漏洞
Agonie_25的博客
05-20 1687
漏洞说明 在用户进入登录页面,但还登录时,会产生一个session,用户输入信息,登录以后,session的id没有改变,也就是说没有建立新session,原来的session没有被销毁, 可以继续使用,黑客可利用此漏洞窃取或操纵客户会话cookie,用于模仿合法用户,从而能够以该用户身份查看或变更用户记录以及执行事务。 简单的说,就是登录前后的JSESSIONID没有变化。 修复方案 核心思...
会话标识更新 java_Appscan漏洞之会话标识更新
weixin_42138703的博客
02-22 755
本次针对Appscan漏洞会话标识更新进行总结,如下:1. 会话标识更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cooki...
会话标识更新 java_【AppScan深入浅出】修复漏洞:会话标识更新(中危)
weixin_30089411的博客
02-22 165
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。关于漏洞的产生“会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值...
【AppScan深入浅出】修复漏洞:会话标识更新(中危)
编程的世界
08-31 3802
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
"F5会话处理流程及参数说明
F5设备在处理网络流量时,会根据每个会话的特点来进行相应的处理,这就需要对会话进行详细的分析和管理。 在F5设备中,会话处理流程主要包括以下几个步骤:会话识别、会话跟踪、会话控制和会话释放。在会话识别阶段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值