WEB中SESSION盗用问题

于 2022-09-06 16:44:27 发布
阅读量826 收藏 2
点赞数 2
分类专栏: B/S 文章标签: web session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29025955/article/details/126728125
版权

场景

已经成功验证/登录的用户/浏览器获取到的JSESSIONID被盗用。非法用户可用该JSESSIONID直接通过验证进入系统,(前提是知道访问地址)。

示例

合法用户登录:(使用Google),通过登录窗体正常登录。

在这里插入图片描述

非法用户盗取到上面的JSESSIONID后,将JSESSIONID直接添加到自己的浏览器中,就可以绕过登录/验证,直接访问系统。(为了区别,这里使用360浏览器)
在这里插入图片描述
添加好JSESSIONID后,直接访问地址(无需登录/验证)
在这里插入图片描述

由上图可知,通过JSESSIONID直接就进入了系统。

解决

后台服务器记录session时,同时绑定对应的ip,在登录验证session,需要保证ip是一致的。

参考文章:https://blog.csdn.net/qq78442761/article/details/104327542

爱看老照片
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HttpSession与JSESSIONID的"盗用"
ajax_yan的博客
05-30 1111
HttpSession与JSESSIONID的”盗用” 先说一下什么是HttpSession,Http协议是一种无状态的协议,当我们从客户端发起一个浏览器请求的时候,服务器端如果说需要保留我们的登录信息的话,我们就需要通过某种方式解决这个登录问题。 在B/S模式不可能每次访问服务器都把自己的登录信息传递到服务器端,如果说我们不考虑单点登录系统和cookie没有被禁...
php JWT在web的使用方法教程
12-20
**PHP的JWT(JSON Web Tokens)使用教程** JWT(JSON Web Token)是一种轻量级的身份验证机制,常用于Web应用程序,尤其是API身份验证。JWT通过一个由三部分组成的字符串来代表用户的身份信息,无需传统的Cookie...
SESSION的窃取
EnnisSuper
05-21 1304
怎样从cookie里获取信息 怎样从cookie里获取信息. 文章作者:lucky 信息来源:黑客基地   网站安全版有人在问,怎么从cookies提取信息,我用动网论坛的来说明一下。 如有必要转载,请保留黑客基地的字样,谢谢。    使用工具: 1:WsockExpert,用来抓取cookies。 2:动网论坛7.1 sp1。 抓取cookies步骤:打开动网论坛的页
Web笔记-session盗用安全问题(Spring Boot获取所有session及提高安全性)
IT1995的博客
02-15 6137
此处本人的过滤代码如下: 仅仅是判断了这个session有没有被记录,有没有attribute! 某些IT论坛,就是这样的,通过session,就可以进行批量帐号操作,发取http协议。 这里演示如下,但我登录了一个号后: 我把这个sessionid放到其他机器上 也是直接被登录的(很多论坛就是这样) 这样就存在很大的安全问题。在此提供一个策略。 这里用...
Session结合Filter防止盗号
Monday__Friday的博客
06-29 3624
Cookie和Session 首先讲述:Cookie和Session Cookie和Session都是一个会话技术。 HTTP协议是一个无状态的协议,web应用的服务器和客户端保持的是短连接,也就是一次请求后就会断开连接。 而有时候我们需要在前一次连接数据的基础上进行下一次连接,这就需要用到我们的会话技术。 Cookie是被保存在客户端,一般保存一些用户自己的设置。一个浏览器和服务器进行的一次会话会产生一个Cookie,这个Cookie可以被保存在文件实现持久化,也可以设置这个保存的时间。这样我们下次请求
session与cookie
03-07
Web开发Session和Cookie是两种常见的用户会话管理机制,它们主要用于识别和跟踪用户在网站上的活动。由于HTTP协议本身是无状态的,即服务器无法自动识别和记忆不同请求之间的关联,因此Session和Cookie成为了...
Web前端开发之水印、图片验证码
09-01
5. **生成验证码**:从预设的字符集(包含字母和数字)随机选取四个字符组成验证码,并将其保存在`Session`以便后续验证。 6. **绘制验证码**:随机设置每个字符的颜色和位置,使用不同的字体大小增加可读性。 ...
Web应用安全:CSRF防范辅助性对策.pptx
06-19
Web应用安全领域,CSRF(跨站请求伪造)攻击是一种常见的威胁,它利用用户的登录凭证,通过伪造请求来执行非用户意愿的操作。为了有效防范CSRF,开发者需要采取多种策略,结合主要对策和辅助性对策来构建多层防线...
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
带你了解session和cookie作用原理区别和用法
12-10
Cookie和SessionWeb开发用于管理用户状态的两种主要机制,它们各有特点,适用于不同的场景。 1. **Cookie** - **概念**:Cookie是由服务器发送到用户浏览器并存储在本地的一小块数据,用于识别用户身份、存储...
phpweb 下载模块
07-14
8. **防盗链技术**:防止他人盗用你的资源,可以采用 referer 检查、IP限制、令牌验证等手段防止非预期的外部链接下载。 9. **日志记录**:为了监控和分析下载行为,可以记录下载日志,包括文件ID、下载时间、下载...
php跨域提交及伪造SeSSION
09-25
在PHP编程,跨域(Cross-Origin)和伪造SESSIONSession Hijacking)是两个重要的安全概念,它们都与Web应用程序的安全性密切相关。本篇文章将详细解释这两个概念,并提供相关的解决方案和预防措施。 首先,让...
电子商务的网络安全问题和挑战-研究论文
05-20
电子商务(电子商务)是指通过电子网络(实质上是... 因此,电子商务Web服务器和用户计算机上的安全性较差是电子商务快速发展所要解决的核心问题。 本文为电子商务安全提供了指导,以提高客户对电子商务购物的信心。
关于web项目sessionID欺骗的问题
a563501734的博客
11-05 7966
我在做用户登陆时大费周章,又是rsa又是md5的,忽然想起DNS欺骗的问题,如果用户被dns劫持,不管我用什么样的方法,用户如果在被劫持的页面上输入密码都毫无安全可言,并且https我们是不可能用的,瞎将就吧,我只能寄希望于用户装了某管家或某卫士。 但是后面的问题更严重,大家都知道http依赖cookie保持会话状态,我们大费周章地用各种加密方式来保护用户密码,最后却转化成为十几二十个明文字符来...
session的安全问题
m0_55306747的博客
05-16 2692
有个疑问,据说是session身份验证比cookie身份验证更安全,因为session安全验证是存储在服务器,但是服务器仍然是需要去读取存储用户浏览器session id,然后依照这个session id去寻找session,这和读取cookie比起来,感觉也安全不到哪里去啊,我如果获取了目标的session id,不是照样可以伪造身份吗?你把session信息存储在服务端又安全在哪里呢? 刚刚查了一下,相关的资料,得出了确实两种方法都半斤八两,安全性差不多的结论,以下摘抄自某文章 (没错,其实
js加密破解
weixin_45926804的博客
11-30 986
某站的登入加密破解 目标网址:https://passport.bilibili.com/login?spm_id_from=333.851.b_696e7465726e6174696f6e616c486561646572.11 一、登入 F12打开调试 输入账号、密码、滑动滑块、点击登入 进入XHR开始寻找登入需要的字段,上图有 二、寻找加密位置 1、全局搜索加密字段password或者pas...
在本地调试,使用fiddler绕过登录验证
qq_35597524的博客
03-07 6992
现象:在本地调试调用某个接口时,会进入到spring拦截器检查登录验证,没登录的话会直接跳到线上环境进行登录操作,造成本地调试失败。 解决方案:使用fiddler设置代理,具体步骤如下: 1.先进行线上登录操作,浏览器就把对应的jsessionid存储在cookie;线上服务器也存了对应的session; 2.开发fiddler,选tools->ho...
session会话技术
最新发布
05-05
Session会话技术是一种在Web应用程序存储和跟踪用户数据的方法。在Web应用程序,HTTP协议是无状态的,这意味着每个请求都是独立的,服务器无法知道该请求与之前的请求是否相关联。因此,为了跟踪用户在Web应用程序的活动和状态,会话技术被引入。 Session会话技术的工作原理是:当用户打开Web应用程序时,服务器会创建一个唯一的会话ID,并将其存储在一个cookie,然后将cookie发送回用户的浏览器。每次用户与Web应用程序进行交互时,浏览器都会将cookie发送回服务器,服务器使用会话ID来查找与该用户相关联的数据。服务器可以在会话存储任何数据,例如用户的登录状态、购物车的商品、表单数据等。 Session会话技术的优点是可以存储和跟踪用户的状态和活动,从而提供更好的用户体验。例如,可以在用户购物车存储商品信息,以便用户在后续的购物过程轻松地添加或删除商品。 然而,Session会话技术也存在一些缺点。由于会话数据存储在服务器上,因此会占用服务器的内存和存储空间。此外,如果用户的会话ID被盗用,则攻击者可以访问该用户的会话数据,这可能会导致安全问题。因此,需要采取一些措施来保护用户的会话数据,例如使用SSL加密和定期更新会话ID等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值