场景
已经成功验证/登录的用户/浏览器获取到的JSESSIONID被盗用。非法用户可用该JSESSIONID直接通过验证进入系统,(前提是知道访问地址)。
示例
合法用户登录:(使用Google),通过登录窗体正常登录。
非法用户盗取到上面的JSESSIONID后,将JSESSIONID直接添加到自己的浏览器中,就可以绕过登录/验证,直接访问系统。(为了区别,这里使用360浏览器)
添加好JSESSIONID后,直接访问地址(无需登录/验证)
由上图可知,通过JSESSIONID直接就进入了系统。
解决
后台服务器记录session时,同时绑定对应的ip,在登录验证session,需要保证ip是一致的。
参考文章:https://blog.csdn.net/qq78442761/article/details/104327542