IBM Security Appscan漏洞--会话标识未更新

最新推荐文章于 2023-03-02 11:40:28 发布
最新推荐文章于 2023-03-02 11:40:28 发布
阅读量6.3k 收藏
点赞数
分类专栏: 漏洞 文章标签: cookie 漏洞 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/super_man_x/article/details/50905238
版权

可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
“会话标识未更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞。
解决办法:

在登陆页面中添加如下代码:

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
    request.getSession().invalidate();//清空session
    Cookie cookie = request.getCookies()[0];//获取cookie
    cookie.setMaxAge(0);//让cookie过期
%>

保险起见,在验证登陆成功前添加如下代码

try {
    request.getSession().invalidate();  
    if (request.getCookies() != null) {  
       Cookie cookie = request.getCookies()[0];// 获取cookie  
       cookie.setMaxAge(0);// 让cookie过期  
    }  
} catch (Exception e) {  
     e.printStackTrace();  
}  
session = request.getSession(true);

会话标识未更新”的危害,在于攻击者通过某种方式(如XSS)将自己的Id置入了被攻击者的浏览器,将会话标识改为某个攻击者预设的值,被攻击者正常登陆,若服务器接收了这个预设值,那么相当于攻击者获得了被攻击者登录后的权限,因此才要求在登录时更新会话标识

我是一个小菜鸟,大家如有更简单高效的方法,欢迎在评论中指出,一起分享。谢谢

Hi_YouXu
关注
专栏目录
网站漏洞扫描工具 IBM Security AppScan Standard使用
山间明月江上清风的专栏
12-19 3770
软件可以去官网下载,有30天免费使用: https://www.ibm.com/us-en/marketplace/appscan-standard 不过官网下载还要注册挺繁琐的,如果想省点事国内百度搜一下也有资源。 按照好后打开软件: create new scan -&gt; regular scan -&gt; full scan configuration 登录管理配置: ...
IBM Security Appscan漏洞--跨站点请求伪造
YouXu
03-16 7806
漏洞介绍: 可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
Struts2解决更新会话标识
07-16
Struts2解决更新会话标识
一个过滤器不仅解决了会话标识更新同时还顺带解决了已解密的登录请求
weixin_34309543的博客
08-31 135
废话不多说直接上代码,少点套路,多点真诚。 过滤器代码如下: package com.filter; import java.io.IOException; import java.util.Enumeration; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import...
会话标识更新
javaee_ssh的专栏
07-22 5880
try { log.debug("sessionId1 = " + request.getSession().getId()); request.getSession().invalidate(); log.debug("sessionId2 = " + request.getSession(true).getId()); if (request.getCookies() != nul
会话标识更新 java_IBM Security Appscan漏洞--会话标识更新
weixin_27153203的博客
02-22 209
可能会窃取或操纵客户会话cookie,它们可能用于模仿合法用户,从而使***能够以该用户身份查看或变更用户记录以及执行事务 “会话标识更新”是中危漏洞AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”...
IBM Security Appscan漏洞--存储的跨站点脚本编制
YouXu
03-16 9205
对用户输入正确执行危险字符清理 ,添加XSS过滤器
IBM Security AppScan Standard 使用方法,本人实践》
热门推荐
【✎__三味書屋】的博客
11-15 3万+
欢迎大家访问!!^_^
Security Appscan Standard 漏洞扫描及补漏洞
YouXu
03-03 4816
IBM Security Appscan 介绍 IBM Security AppScan 在应用程序开发的生命周期过程中提供安全测试, AppScan 扫描很多常规的漏洞,比如跨站脚本攻击(cross site cripting),HTTP 响应分割(HTTP response splitting),参数篡改(Parameter Tampering)等等。
appscan安全漏洞修复
12-21
会话标识在用户登录、权限更改或其他敏感操作后及时更新,可能导致会话劫持。解决办法是在关键操作后强制生成新的会话ID,确保即使会话被拦截,攻击者也无法利用旧的会话信息进行非法操作。 3. 跨站点请求伪造...
安全测试 关于会话标识更新的解决方法
charsli的专栏
10-30 966
最近本人搭了一个框架,用IBM Rational AppScan扫描出其中的一个安全漏洞,描述如下:[1 / 2] 会话标识更新 严重性: 高 测试类型: 应用程序 有漏洞的URL: *** 修复任务: 不要接受外部创建的会话标识. [b]会话标识更新[/b] 应用程序 WASC 威胁分类 授权类型:会话定置 http://www.webappsec.org/projects...
AppScan 会话标识更新 处理方案
八音初穗的博客
03-21 1148
之前是采用了百度到的 session.Abandon的方式但是客户网络环境的问题 会在内网情况下 莫名其妙导致session丢失 取消这个标记后 ,会导致通不过机器扫描,然后采用了https://bbs.csdn.net/topics/390072229此问题的happylm88的回复 response.Cookies["ASP.NET_SessionId"].Expires=Syst...
会话更新
技术人生
06-27 1121
会话更新 被动心跳支持 在《中国电信BAC设备技术规范-BAC下发版090312》,针对会话更新,标准提出终端被动心跳支持需求。 标准中需求描述如下 当SIP终端注册成功后,一定时间内(建议该时间定义成3分钟),如果SIP终端与BAC(边缘接入控制设备)之间没有任何信令消息时,SIP终端应当向BAC发送Options消息。 任何情况下的事务层交互失败后,SIP终端需要
AppScan深入浅出】修复漏洞会话标识更新(中危)
编程的世界
08-31 3832
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
AppScan登录回放后识别任何会话中模式
L_water的博客
03-02 3429
使用Appscan时,记录(推荐)录制后,在审查和验证页签下,点击“验证”遇到的一个阻碍:登录回放后识别任何会话中模式。正常来说,就应该把第一次登陆的SESSION当作全局变量使用的,每个页面使用这个SESSION就行了,就可以保持会话了。“会话ID”页签下的SESSION那一行。
AppScan安全扫描:会话标识更新
爱兰河少
01-30 1325
    会话标识更新:在登录页面中存在一个动态的验证码,这个验证码每次获取后会存放于客户端的session中,而若登录失败后会再次跳回到登录页面,而在AppScan做安全扫描时就会误认为因该是新的请求会话,而新的会话则需要用新的Session(sessionId不一样即可),而我们很多时候登录失败后的错误提示信息会封装到session中,这样会方便前台直接读取,因此就会导致会话标识更新的安全问...
Appscan】问题解决—有验证码的系统,扫描过程中检测不到会话
weixin_41439893的博客
06-03 9176
带有验证码的系统,通过Appscan扫描时,检测不到会话这个问题产生原因为动态验证码导致再次登录时验证码错误,因此没有获取到session。 以下分享几种解决方法: (一)利用外部浏览器登陆 (二)扫描过程中,登录方法使用 “提示” 登录方法选择 提示-记录第一次登录 此时,一定要记得勾选成 使用嵌入浏览器。 除了以上两种解决方法,还可以请开发帮忙暂时移除掉验证码的方式,来进行安全扫描;或者做一个万能的验证码来进行扫描。但个人比较推荐方法(一)或(二),毕竟求人不如求己啦,哈哈哈。 ...
IBM Security AppScan
最新发布
05-10
IBM Security AppScan是一款用于Web应用程序安全测试的自动化工具,它可以帮助企业发现和修复Web应用程序中存在的安全漏洞和缺陷,从而保护企业的信息系统免受攻击。该工具可以自动进行漏洞扫描、发现弱点和缺陷、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值