ESAPI之会话安全

最新推荐文章于 2022-05-17 12:09:35 发布
最新推荐文章于 2022-05-17 12:09:35 发布
阅读量172 收藏 1
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tooby/article/details/84743927
版权

ESAPI是开源组织owasp,开放的安全开发框架,但百度、google搜索相关的技术文章很少,今天小尝试了一下,分享一下心得。

会话攻击,简单理解就是盗用窃取用户的cookie,伪装成用户,向服务器端发送请求,窃取用户私密信息。

具体如何防止会话攻击,很简单,参照《Web应用安全威胁与防治--基于OWASP TOP 10 与ESAPI》书中介绍的方法,一旦用户登录成功后,马上validate用户的会话,具体步骤如下:

  1. 用户输入用户名和密码
  2. 系统对用户进行验证通过
  3. 已有的会话信息如果仍然需要,则转移到一个临时变量中去
  4. invalidate当前会话
  5. 创建一个新会话
  6. 把临时变量中保存的会话信息恢复到新创建的会话中去
  7. 用户使用这个新的会话登录到系统中并进行操作

 

贴出实例

构造一个简单登录页面

 

[html]  view plain copy print ?
 
  1. <body>  
  2.     <form action="loginServlet" method="post">  
  3.         用户名:<input type="text" name="username" /><br/>  
  4.         密码:<input type="password" name="password"/><br/>  
  5.         <input type="submit" value="登录"/>  
  6.     </form>  
  7.   </body>  


验证成功的页面

 

 

[html]  view plain copy print ?
 
  1. <body>  
  2.    欢迎${sessionScope.username }登录  
  3.  </body>  


然后是一个LoginServlet,其中DefaultHTTPUtilities是ESAPI中org.owasp.esapi.reference.DefaultHTTPUtilities类,该类的changeSessionIdentifier(request),就是实现上述功能。

 

 

[java]  view plain copy print ?
 
  1. public void doPost(HttpServletRequest request, HttpServletResponse response)  
  2.             throws ServletException, IOException {  
  3.         String username = request.getParameter("username");  
  4.         String password = request.getParameter("password");  
  5.         DefaultHTTPUtilities dhUtil = new DefaultHTTPUtilities();  
  6.         try {  
  7.             HttpSession session = dhUtil.changeSessionIdentifier(request);  
  8.             session.setAttribute("username", username);  
  9.             session.setAttribute("password", password);  
  10.             request.getRequestDispatcher("/index.jsp").forward(request, response);  
  11.         } catch (AuthenticationException e) {  
  12.             e.printStackTrace();  
  13.         }  
  14.     }  


贴出changeSessionIdentifier(request)方法源码

 

 

 

[java]  view plain copy print ?
 
  1. public HttpSession changeSessionIdentifier(HttpServletRequest request) throws AuthenticationException {  
  2.   
  3.         // get the current session  
  4.         HttpSession oldSession = request.getSession();  
  5.   
  6.         // make a copy of the session content  
  7.         Map<String,Object> temp = new ConcurrentHashMap<String,Object>();  
  8.         Enumeration e = oldSession.getAttributeNames();  
  9.         while (e != null && e.hasMoreElements()) {  
  10.             String name = (String) e.nextElement();  
  11.             Object value = oldSession.getAttribute(name);  
  12.             temp.put(name, value);  
  13.         }  
  14.   
  15.         // kill the old session and create a new one  
  16.         oldSession.invalidate();  
  17.         HttpSession newSession = request.getSession();  
  18.         User user = ESAPI.authenticator().getCurrentUser();  
  19.         user.addSession( newSession );  
  20.         user.removeSession( oldSession );  
  21.   
  22.         // copy back the session content  
  23.       for (Map.Entry<String, Object> stringObjectEntry : temp.entrySet())  
  24.       {  
  25.          newSession.setAttribute(stringObjectEntry.getKey(), stringObjectEntry.getValue());  
  26.         }  
  27.         return newSession;  
  28.     }  
tooby
关注
专栏目录
安全设计 -- 会话安全
qq_38303984的博客
03-26 3738
会话安全 同源策略与跨域请求 概述 浏览器自带同源策略,不运行js发起跨域的post请求,get请求可以。 解决方法 1.jsonp 2.利用nginx或者java后端,返回允许跨域 3. 特定的标签gateway解决跨域 XSS重放攻击。跨站脚本攻击 概述 通过输入 解决方案 对特殊的字符进行转义,如<。 CSRF/XSRF 跨站请求伪造。 概述 由于浏览器的cookie是所有标签共享的,所以有可能导致cookie泄露。 解决方法 请求里携带随机token – get 所有
ESAPI学习笔记
weixin_30487201的博客
12-22 1299
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
Spring集成ESAPI
苏北讲道理给你听
05-16 3911
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
WEB安全-ESAPI
热门推荐
frog4的专栏
08-20 2万+
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven &lt;dependency...
esapi-2.1.0.1_esapi-2.1.0.1_
10-02
**ESAPI 2.1.0.1:安全编程接口详解** `ESAPI`,全称为`Enterprise Security API`,是企业级安全API的一种实现,主要用于帮助开发人员在Java平台上构建更安全的应用程序。这个开源项目由OWASP(开放网络应用安全...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
ESAPI是一个开源的安全库,提供了一系列的安全功能,包括输入验证、输出编码、安全随机数生成等。在防止XSS攻击方面,ESAPI的`encodeForHTML()`和`encodeForJavaScript()`方法能够对用户输入进行编码,确保浏览器...
esapi-java-legacysource-esapi-2.1.0.1.zip
02-13
ESAPI (Enterprise Security API) 是一个开源项目,由OWASP(Open Web Application Security Project)组织维护,旨在提供一套全面的、统一的安全编程接口,帮助Java开发者编写更安全的应用程序。这个压缩包“esapi-...
ESAPI安全编码工具源码包
12-30
除了上述核心功能,ESAPI还提供了一些其他有用的服务,如会话管理、安全随机数生成、安全的文件操作等。这些工具可以帮助开发者遵循最佳安全实践,降低Web应用程序的风险。 ### 开发与使用 在使用ESAPI时,开发者...
ESAPI加使用方法文档
11-03
esapi-2.1.0及其具体使用方法,手把手教你实施部署,绝对避免你出错
Springboot结合ESAPI——配置XSS防御过滤
jxwen1的博客
10-19 1万+
本文来源与几篇优秀文章的整合,但整合后真实可用, 在此记录以便往后使用 文章地址:https://blog.csdn.net/frog4/article/details/81876462https://blog.csdn.net/julycaka/article/details/78467291 https://blog.csdn.net/fengyao1995/article/de...
常见安全漏洞及其解决方案
网络安全
05-17 2万+
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
走进科学 WAF(Web Appllication Firewall)
weixin_34415923的博客
11-21 155
1. 前言当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,例如传统的防火墙体系无法对当前快速爆发和蔓延的0DAY漏洞进行快速响应和对抗,而要彻底解决此类漏洞的代码审计和代码修补往往需要较长的...
WEB安全之代码安全----ESAPI
一杯咖啡的渗透记忆
02-20 3803
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
esapi-2.1.0-dist.zip
最新发布
10-27
除了提供基本的安全功能外,ESAPI还提供了一些高级特性,如安全配置管理、安全日志记录和安全事件通知等。这些特性可以帮助开发人员更好地管理和监控应用程序的安全性,及时发现并应对安全威胁。 总之,esapi-2.1.0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值