springboot + shiro 去除登录界面url后的JESSIONID

最新推荐文章于 2022-08-24 05:07:05 发布
最新推荐文章于 2022-08-24 05:07:05 发布
阅读量1.7k 收藏 5
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30517167/article/details/100933245
版权

公司最近的一个安全产品要拿销售许可证,管理界面是基于B/S做的,本来在公司悠闲地敲着代码,突然测试人员发了一份英文的web漏洞扫描报告过来,大致长这个样子的:

然后就百度这个logo  acunetix

一家做安全产品的公司,我就栽在这上面了。

然后有一个中危漏洞:

这个当时就看不懂了,查了下CSRF,俗称跨站点请求伪造。我在想,我都没登录进去,怎么伪造啊,后来在csdn里查了半天,查到了有跟我一样经历的人,还是个妹子,她写了很多,就是把我搜索到的所有方法都试过了,全写进去了,内容有点多,我就拿了有用的部分写了这篇文章,妹子写的文章路径(记一次蛋疼的tomcat、shiro自动生成的JESSIONID去除历程..........)。

漏洞存在原因: 登录url后面暴露了JESSIONID,得想办法去掉

首先我的项目是基于springboot 2 + shiro 1.4.0 这两个版本的

在项目配置文件application.yml修改tomcat属性

server:
  servlet:
    session:
      tracking-modes: cookie
      cookie:
        http-only: true

然后在shiro配置文件中添加sessionManager 这个bean

/**
     * shiro session的管理
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setGlobalSessionTimeout(60 * 30 * 1000);
        defaultWebSessionManager.setDeleteInvalidSessions(true);
        defaultWebSessionManager.setSessionValidationSchedulerEnabled(true);
        defaultWebSessionManager.setSessionIdCookieEnabled(true);
        // tomcat的JESSIONID自动生成模块
        defaultWebSessionManager.setSessionIdUrlRewritingEnabled(false);
        return defaultWebSessionManager;
    }

然后就解决了!

Vanklin_0711
关注
shiro如何去掉弹出提示框登录_Servlet整合Shiro(四)
weixin_39541227的博客
01-22 1333
戒色诗: 二八佳人体似酥,腰间仗剑斩凡夫。虽然不见人头落,暗教君骨髓枯。一. Shiro 配置文件的四大部分在 shiro.ini 这个配置文件中, 有四个部分, [main], [users],[roles], 还有一个 [urls], 前面三个部分,我们都讲解了,只剩下一个 urls。这儿进行讲解一下。一. 一 [main] 部分提供了对根对象securityManager及其依...
Springboot+Shiro 去除JSESSIONID
cocosum
11-05 4757
1、可能很多人去重写会话管理器(Springboot 2.13 + shiro 1.4.1): DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager(); System.out.println(defaultWebSessionManager.isSessionIdUrlRewriti...
去掉shiro登录urlJSESSIONID
热门推荐
奥法vx的笔记
06-17 1万+
经过查找论坛和分析源码,确认了是在ShiroHttpServletResponse加上的。 因此继承ShiroHttpServletResponse类,覆盖相应方法,再重写 ShiroFilterFactoryBean就可以把添加JSESSIONID部分去掉。 重写ShiroHttpServletResponse Java代码 public class MyShiroHttpServletRe
解决Shiro第一次重定向url携带jsessionid问题
Ruanes的博客
09-05 2690
Shiro在进行第一次重定向会在url后携带jsessionid,导致访问400。 实力有限,就不分析源码了,需要了解原因的可以查看ShiroHttpServletResponse类中encodeRedirectURL、encodeRedirectUrl、toEncoded等方法,直接说下解决办法 解决办法: 创建一个DefaultWebSessionManager类实例,并将它的sessionIdUrlRewritingEnabled属性设置成false 再在DefaultWebSecurityMan
shiro登陆后,去掉URL中的jsessionId
green_hunter的专栏
06-09 1270
今天搭建了spring + shiro 的一个系统,在成功登录后,跳转的URL中,始终有jsessionId。网上查资料,怎么去掉。 主要执行以下步骤: 1、重写 ShiroHttpServletResponse [code="java"][code="java"][code="java"]public class MyShiroHttpServletResponse ex...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
最新发布
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
Springboot+shiro单点登录实现.md
09-15
Springboot+shiro单点登录实现,本文档是单点登录的全部源代码。
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
2. **权限控制**:用户登录后,所有请求都会经过Shiro的过滤器链,Shiro会根据Subject中的权限信息判断用户是否有权限访问资源。 3. **前端展示**:LayuiMini根据Shiro的权限信息动态渲染界面,比如隐藏无权限的按钮...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
解决urljsessionid问题(springboot版)
thankna的博客
10-21 5785
1.问题背景: 我的项目不使用cookie,使用sessionStorage,走前后端分离路线,但是有一个机能用的thymeleaf继承以前的项目。 vue访问springbootshiro+jwt+redis,没有问题。 thymeleaf访问springbootshiro拦截了在jsessionidurl,导致css样式请求报400,返回画面没有样式。 2.解决方案 从CSDN上检索到的去掉jsessionid都是springmvc版的,追加过滤器解决,过滤器注册在web.xml。 我
Spring boot中去掉URL后面的jsessionid
余_小凡 的博客
12-11 9277
url中有Jsessionid生成的原因: jsessionid是标明sessionid,它存在于cookie中,一般情况不会出现在url中,服务器会从客户端的cookie中取出来,但是如果客户端禁用了cookie的话,就要重写url了,显式的将jsessionid重写到Url中,方便服务器来通过这个找到sessionid。 如果客户端请求的cookie中不包含JSESSIONID,服务...
shiro如何去掉弹出提示框登录_Shiro 权限绕过漏洞分析(CVE-2020-1957)
weixin_30306507的博客
01-06 1093
1## 前言2020年3月23号,Shiro开发者Brian Demers在用户社区发表帖子,提醒shiro用户进行安全更新,本次更新进行了三个修复,其中就包括了对编号为CVE-2020-1957的Shrio授权绕过漏洞的修复。漏洞影响shiro 1.5.2版本以下。分析过程SHIRO-682根据Shiro开发者在1.5.2版本中提交的commit中关于PathMatchingFilter类的测试...
Spring Mvc boot解决静态urljsessionid问题
weixin_33928137的博客
03-27 956
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro设置url过滤配置详解
m0_67390788的博客
08-24 735
perms(权限): /admins/user/**=perms[user:add:*],参数可以写多个,多个必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms[“user:add:*,user:modify:*”],当有多个参数必须每个参数都通过才通过,想当于isPermitedAll()方法。ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https。版权声明:本文为博主原创文章,转载请附上博文链接!
springbootshiro集成
weixin_41490593的博客
05-08 983
加入依赖 <!--Shiro核心框架 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>${shiro.version}</version> </...
shiro会话管理
zhangchang0516的博客
04-13 526
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值