java session 伪造_Java Session验证码案例代码实例解析

最新推荐文章于 2021-02-24 15:54:21 发布
最新推荐文章于 2021-02-24 15:54:21 发布
阅读量232 收藏 1
点赞数
文章标签: java session 伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_27531501/article/details/114358422
版权
本文介绍了一个Java Session验证码的案例,详细解析了如何在登录过程中使用Session存储验证码并验证用户输入,防止Session伪造。通过检查用户名、密码和验证码的正确性,实现登录功能,并展示了相关代码示例。
摘要由CSDN通过智能技术生成

案例

用户输入用户名,密码以及验证码。

如果用户名和密码输入有误,跳转登录页面,提示:用户名或密码错误

如果验证码输入有误,跳转登录页面,提示:验证码错误

如果全部输入正确,则跳转到主页success.jsp,显示:用户名,欢迎您思路

在生成验证码的时候将它的值存入到session中,在比对的时候再取出来进行对比

代码index.jsp

Created by IntelliJ IDEA.

User: tanglei

Date: 2020/6/26

Time: 下午12:48

To change this template use File | Settings | File Templates.

--%>

login

window.onload = function(){

document.getElementById("img").onclick = function(){

this.src="/login_time_war_exploded/checkCode?time="+new Date().getTime();

}

}

div{

color: red;

}

用户名
密码
验证码
checkCode

success.jsp

Created by IntelliJ IDEA.

User: tanglei

Date: 2020/6/26

Time: 下午6:27

To change this template use File | Settings | File Templates.

--%>

Title

,欢迎您

验证码checkCode.java

package cn.guizimo.servlet;

import javax.imageio.ImageIO;

import javax.servlet.ServletException;

import javax.servlet.annotation.WebServlet;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.awt.*;

import java.awt.image.BufferedImage;

import java.io.IOException;

import java.util.Random;

@WebServlet("/checkCode")

public class CheckCode extends HttpServlet {

@Override

protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

int width = 100;

int height = 50;

//创建图片对象

BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_BGR);

//美化

Graphics g = image.getGraphics();

//背景

g.setColor(Color.PINK);

g.fillRect(0, 0, width, height);

//边框

g.setColor(Color.BLUE);

g.drawRect(0, 0, width - 1, height - 1);

String str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";

Random ran = new Random();

StringBuilder sb = new StringBuilder();

for (int i = 1; i <= 4; i++) {

int index = ran.nextInt(str.length());

char ch = str.charAt(index);

sb.append(ch);

g.drawString(ch+"",width/5*i,height/2);

}

String checkCode_session = sb.toString();

//将验证码存入session

req.getSession().setAttribute("checkCode_session",checkCode_session);

//干扰线

g.setColor(Color.GREEN);

for (int i = 0; i < 10; i++) {

int x1 = ran.nextInt(width);

int x2= ran.nextInt(width);

int y1 = ran.nextInt(height);

int y2 = ran.nextInt(height);

g.drawLine(x1,y1,x2,y2);

}

//输出图片到浏览器

ImageIO.write(image, "jpg", resp.getOutputStream());

}

@Override

protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

this.doPost(req, resp);

}

}

login.java

package cn.guizimo.servlet;

import javax.servlet.ServletException;

import javax.servlet.annotation.WebServlet;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import java.io.IOException;

@WebServlet("/login")

public class Login extends HttpServlet {

@Override

protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

//1.设置request编码

req.setCharacterEncoding("utf-8");

//2.获取参数

String username = req.getParameter("username");

String password = req.getParameter("password");

String checkCode = req.getParameter("checkCode");

//3.先获取生成的验证码

HttpSession session = req.getSession();

String checkCode_session = (String) session.getAttribute("checkCode_session");

//删除session中存储的验证码

//session.removeAttribute("checkCode_session");

//3.先判断验证码是否正确

if(checkCode_session!= null && checkCode_session.equalsIgnoreCase(checkCode)){

//忽略大小写比较

//验证码正确

//判断用户名和密码是否一致

if("zhangsan".equals(username) && "123".equals(password)){//需要调用UserDao查询数据库

//登录成功

//存储信息,用户信息

session.setAttribute("user",username);

//重定向到success.jsp

resp.sendRedirect(req.getContextPath()+"/success.jsp");

}else{

//登录失败

//存储提示信息到request

req.setAttribute("login_error","用户名或密码错误");

//转发到登录页面

req.getRequestDispatcher("/login.jsp").forward(req,resp);

}

}else{

//验证码不一致

//存储提示信息到request

req.setAttribute("cc_error","验证码错误");

//转发到登录页面

req.getRequestDispatcher("/login.jsp").forward(req,resp);

}

}

@Override

protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

this.doPost(req, resp);

}

}

测试登录界面

a1bc7bf7a7547f9f05491c54cd5b9ba3.png

验证码错误

4eac8ea809ea54b6dd839a48a3faffee.png

用户名密码错误

8dcc70f0a0de950376ace72d8568461b.png

登录成功

cfcd34a95bbcab53d11876c76ec89196.png

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

斜杆体制人吴聊先生
关注
java防止session伪造攻击_session深入探讨
weixin_29547681的博客
02-17 869
简介session(会话),其实是一个容易让人误解的词。它总跟web系统的会话挂钩,利用sessionjavaweb项目实现了登录状态的控制。坊间流传,关闭浏览器,就是关闭了web系统的会话。其实浏览器对于会话有自己的定义,而web系统对于会话也有自己的定义。在tomcat中,session通常是指实现了HttpSession接口的实现类。并且不存在关闭浏览器就会关闭tomcat的HttpSes...
java 模拟 httpsession_Java中Httpsession是如何实现的?
weixin_42520374的博客
02-13 421
HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。我们看到,HTTP协议本身并不能支持服务端保存客户端的状态信息。于是,...
伪造Session登陆后台~
JavaFans && Boy With The Wind
08-17 4804
login.asp的验证代码      user_name=trim(request.form("uid"))      user_password=trim(request.form("pwd"))            user_password=jk_md5(user_password,"long")   if user_name="" or user_password="" then   
java session 伪造_公开!阿里新产Spring Security笔记,这也太细了
weixin_32646781的博客
02-24 124
Spring SecuritySpring Security想必在这里不用我多说了,它作为一个强大且高度可定制的安全框架,一直致力于为Java应用提供身份认证和授权。在Web开发中,安全一直是非常重要的一个方面。它的三大功能:认证(你是谁)授权(你能干什么)***防护(防止伪造身份)让其成为首先被推崇的安全解决方案。如何学习Spring Security?对于Java基础不太好的朋友,在面对Spr...
java 伪造session_java-同一用户顶替操作(session过期或无效)
weixin_39701861的博客
02-24 289
packagenet.nblh.system.shiro;importjava.io.IOException;importjava.io.PrintWriter;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.Servlet...
使用java方式处理跨站请求伪造(CSRF)
weixin_43977799的博客
09-17 6357
什么是CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任...
SessionJavaWeb专题
09-05
本课程系统地讲解了SESSION这个知识点,主要讲解了Session的概念,它是如何产生,如何工作,如何存放和如何消亡的,以及SessionJavaWeb中的体现和操作,在最后用一个小例子来演示了如何通过Servlet来操作Session。学习本课程可以理解Session机制,javax.servlet.http.HttpSession及HttpSession常见问题。免费试听地址:http://www.itcast.net/portal/courses/unit/124
[电子商务]金星session购物车实例_cart.zip
03-13
- **安全**:保护session免受恶意攻击,如XSS(跨站脚本)和CSRF(跨站请求伪造)。 通过以上分析,我们可以看到金星session购物车实例是如何利用session技术来实现一个功能完备、用户体验良好的电子商务购物车系统...
Blog-jsp-servlet-mysql--master.zip_JSP博客系统_java 博客_个人博客_博客_博客系统
09-21
它允许开发者在HTML页面中嵌入Java代码,使得页面能够根据服务器端的数据生成动态内容。在这个博客系统中,JSP可能用于展示博客文章、用户界面等。 2. **Servlet**:Servlet是Java EE中处理HTTP请求的Java类。在这...
CodeIgniter配置之SESSION用法实例分析
12-18
- 使用CSRF(跨站请求伪造)防护措施,防止第三方应用通过伪造用户请求来获取或修改SESSION数据。 4. **数据库存储SESSION**: 将SESSION数据存储在数据库中可以提高安全性,因为文件系统可能容易受到攻击。但这...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
JAVA-BBS-WEB.rar_java-bbs
09-20
Java BBS Web论坛是一个基于Java技术开发的网络讨论平台,主要面向初级到中级的Java学习者,提供了一个实践和学习的实例。这个项目的核心在于它实现了Web应用的基本功能,包括用户注册、登录、发帖、回帖、浏览讨论...
django框架cookie和session用法实例详解
09-18
### Django框架中Cookie和Session的用法详解 #### 1. Django框架中Cookie和Session的基本概念 ...通过实际的代码示例,我们了解了如何在Django中设置和获取Cookie,以及如何管理用户的Session状态。
如何防止Session伪造攻击
大肚牛的博客--magento, SEO技术交流
12-12 2514
什么是SESSION伪造攻击: Session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击. 任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSI
Java SessionID漏洞分析处理
岁月沉淀,积累财富
11-13 1863
一般我们在实际项目当中经常出现黑客,在js方式获取我们在浏览器当中存储的cookie资料,绕开登录并登录主机进行资料的访问;一帮有以下两种方式,防止此类事情发生: 1.在登录后重置sessionID 在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造sessionId进行攻击。代码如下 protected void doPos
java类中获取session_spring的普通类中获取session和request对像
weixin_42299801的博客
02-12 153
packagecn.xm.jwxt.controller.system;importcn.xm.jwxt.bean.system.User;importcn.xm.jwxt.service.system.UserService;importcom.github.pagehelper.PageHelper;importcom.github.pagehelper.PageInfo;importorg....
c++leecode基础题十大排序数据结构基础_leecodeBasic.zip
最新发布
09-23
c++leecode基础题十大排序数据结构基础_leecodeBasic
深入理解Session机制与安全性:PHP实践
"本文深入解析Session的工作机制以及与之相关的安全性问题,重点在于结合PHP语言进行实例讲解。文章首先强调了HTTP协议的无状态特性,然后介绍了Cookie在维持状态中的作用,但同时也指出了Cookie在安全性上的局限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值