WEB中SESSION盗用问题

于 2022-09-06 16:44:27 发布
阅读量821 收藏 2
点赞数 2
分类专栏: B/S 文章标签: web session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29025955/article/details/126728125
版权

场景

已经成功验证/登录的用户/浏览器获取到的JSESSIONID被盗用。非法用户可用该JSESSIONID直接通过验证进入系统,(前提是知道访问地址)。

示例

合法用户登录:(使用Google),通过登录窗体正常登录。

在这里插入图片描述

非法用户盗取到上面的JSESSIONID后,将JSESSIONID直接添加到自己的浏览器中,就可以绕过登录/验证,直接访问系统。(为了区别,这里使用360浏览器)
在这里插入图片描述
添加好JSESSIONID后,直接访问地址(无需登录/验证)
在这里插入图片描述

由上图可知,通过JSESSIONID直接就进入了系统。

解决

后台服务器记录session时,同时绑定对应的ip,在登录验证session,需要保证ip是一致的。

参考文章:https://blog.csdn.net/qq78442761/article/details/104327542

爱看老照片
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HttpSessionJSESSIONID的"盗用"
ajax_yan的博客
05-30 1107
HttpSessionJSESSIONID的”盗用” 先说一下什么是HttpSession,Http协议是一种无状态的协议,当我们从客户端发起一个浏览器请求的时候,服务器端如果说需要保留我们的登录信息的话,我们就需要通过某种方式解决这个登录问题。 在B/S模式不可能每次访问服务器都把自己的登录信息传递到服务器端,如果说我们不考虑单点登录系统和cookie没有被禁...
js加密破解
weixin_45926804的博客
11-30 980
某站的登入加密破解 目标网址:https://passport.bilibili.com/login?spm_id_from=333.851.b_696e7465726e6174696f6e616c486561646572.11 一、登入 F12打开调试 输入账号、密码、滑动滑块、点击登入 进入XHR开始寻找登入需要的字段,上图有 二、寻找加密位置 1、全局搜索加密字段password或者pas...
session的安全问题
m0_55306747的博客
05-16 2686
有个疑问,据说是session身份验证比cookie身份验证更安全,因为session安全验证是存储在服务器,但是服务器仍然是需要去读取存储用户浏览器session id,然后依照这个session id去寻找session,这和读取cookie比起来,感觉也安全不到哪里去啊,我如果获取了目标的session id,不是照样可以伪造身份吗?你把session信息存储在服务端又安全在哪里呢? 刚刚查了一下,相关的资料,得出了确实两种方法都半斤八两,安全性差不多的结论,以下摘抄自某文章 (没错,其实
web漏洞--会话管理漏洞
xsh951103的博客
01-07 2766
目录 1.会话劫持 2.会话固定 1.会话劫持 1.概念 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 2.攻击步骤 目标用户需要先登录站点 登录成功后,该用户会得到站点提供的一个会话标识SessionID 攻击者通过某种攻击手段捕获Session ID 攻击者通过捕获到的Se..
Web安全-会话ID漏洞
道阻且长,行则将至。
07-07 3528
概述 以下摘自《白帽子讲 web 安全》 密码与证书等认证手段,一般仅仅用于登录(Login)的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时,都再使用密码认证一次。因此,当认证完成后,就需要替换一个对用户透明的凭证。这个凭证就是SessionID。 当用户登陆完成后,在服务器端就会创建一个新的会话(Session),会话会保存用户的状态和相关信息。服务器端维护所有在线用户的...
php JWT在web的使用方法教程
12-20
**PHP的JWT(JSON Web Tokens)使用教程** JWT(JSON Web Token)是一种轻量级的身份验证机制,常用于Web应用程序,尤其是API身份验证。JWT通过一个由三部分组成的字符串来代表用户的身份信息,无需传统的Cookie...
session与cookie
03-07
Web开发Session和Cookie是两种常见的用户会话管理机制,它们主要用于识别和跟踪用户在网站上的活动。由于HTTP协议本身是无状态的,即服务器无法自动识别和记忆不同请求之间的关联,因此Session和Cookie成为了...
Web前端开发之水印、图片验证码
09-01
5. **生成验证码**:从预设的字符集(包含字母和数字)随机选取四个字符组成验证码,并将其保存在`Session`以便后续验证。 6. **绘制验证码**:随机设置每个字符的颜色和位置,使用不同的字体大小增加可读性。 ...
Web应用安全:CSRF防范辅助性对策.pptx
06-19
Web应用安全领域,CSRF(跨站请求伪造)攻击是一种常见的威胁,它利用用户的登录凭证,通过伪造请求来执行非用户意愿的操作。为了有效防范CSRF,开发者需要采取多种策略,结合主要对策和辅助性对策来构建多层防线...
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
带你了解session和cookie作用原理区别和用法
12-10
Cookie和SessionWeb开发用于管理用户状态的两种主要机制,它们各有特点,适用于不同的场景。 1. **Cookie** - **概念**:Cookie是由服务器发送到用户浏览器并存储在本地的一小块数据,用于识别用户身份、存储...
破解有道翻译js加密,纯小白练手
热门推荐
秦一随笔
02-26 5万+
有道翻译js逆向 第一次在csdn上发技术贴,主要是最近闲的,太无聊了。不知道发啥想起来有道翻译,当初学爬虫的时候,看韦世东的《Python 3反爬虫原理与绕过实战》有提到过这个案例,算最最初级的。记得当时自己还破了一下失败了,就放弃了。现在想起来想喂自己吃最喜欢的耳巴子。 ok,话不多说,正式开始: 目标url http://fanyi.youdao.com/ 查看网页 当你输入的时候自动翻译,估计就是一个自动获取加异步请求。 抓包 打开开发者工具,过滤一下请求,可以很清楚的看到是这个post请求返回的
在本地调试,使用fiddler绕过登录验证
qq_35597524的博客
03-07 6978
现象:在本地调试调用某个接口时,会进入到spring拦截器检查登录验证,没登录的话会直接跳到线上环境进行登录操作,造成本地调试失败。 解决方案:使用fiddler设置代理,具体步骤如下: 1.先进行线上登录操作,浏览器就把对应的jsessionid存储在cookie;线上服务器也存了对应的session; 2.开发fiddler,选tools->ho...
彻底解决SESSION劫持、COOKIE欺骗的用户认证方案
huangkaixuan的专栏
05-29 5273
HTTP是一种无状态的连接,会话状态的保持只能通过服务器端的SESSION来维持。SESSION认证依赖于颁发给用户的一个唯一的ID号。用户浏览器向服务器发送一个ID,服务器端存在该会话ID则认为该用户和会话用户为同一人。恶意攻击者可以通过嗅探网络的COOKIE信息冒用其它用户的SESSION ID,从而冒充合法用户,这就是SESSION劫持。 COOKIE除了保存会话ID,还常常用于记住
(15)session原理,应用(防止用户非法登录、验证码、关闭浏览器再开启浏览器还能访问之前的session
FixedStar 的博客
09-11 2508
当用户打开浏览器,访问某个网站时操作session时,服务器就会在服务器的内存为该浏览器分一个session对象,该session对象呗这个浏览器独占。 这个session对象也可以看做是一个容器,session对象默认存在时间为30min,也可以修改。 A:服务器分配给A客户端的session对象……如何理解session: ①session可以看做一个容器类似于HashMap,有两列,
Java SessionID漏洞分析处理
岁月沉淀,积累财富
11-13 1845
一般我们在实际项目当经常出现黑客,在js方式获取我们在浏览器存储的cookie资料,绕开登录并登录主机进行资料的访问;一帮有以下两种方式,防止此类事情发生: 1.在登录后重置sessionID 在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。代码如下 protected void doPos
SessionID漏洞
CH3UHX9
02-28 1539
漏洞原理 当用户第一次访问服务程序时,服务器端会给用户创建一个独立的会话Session 并且生成一个SessionID。 SessionID在响应浏览器的时候会被加载到cookie,并保存到浏览器。 当用户再一次访问服务程序时,请求会携带着cookieSessionID去访问服务器。 服务器会根据这个SessionID去查看是否有对应的Session对象,有则使用,没有就新创建一个Session。 漏洞介绍 如果SessionID的构造原理太简单,就很容易被别人仿造。 仿造了Session
session会话技术
最新发布
05-05
Session会话技术是一种在Web应用程序存储和跟踪用户数据的方法。在Web应用程序,HTTP协议是无状态的,这意味着每个请求都是独立的,服务器无法知道该请求与之前的请求是否相关联。因此,为了跟踪用户在Web应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值