CDSSO Cookie劫持问题

最新推荐文章于 2022-12-04 14:29:55 发布
最新推荐文章于 2022-12-04 14:29:55 发布
阅读量65 收藏
点赞数
原文链接:http://www.cnblogs.com/wuyuxiang/p/5166722.html
版权
CDSSO Cookie劫持问题 
     
     当cookie设置到整个域,如“.example.com”,攻击者获得cookie后,可以从这个域的任何主机使用它,如untrusted.example.com。Cookie劫持保护限制cookie到其签发的主机FQDN名称,如am-server.example.com和server-with-agent.example.com,使用CDSSO处理认证和授权。
    
      如果CDSSO设置了cookie劫持保护,当客户端成功认证后,AM服务签发主SSOToken cookie到其FQDN。AM服务签发restricted token cookie到其他策略代理所在的FQDNs。这样不同应用之间不会共享会话cookie。
当客户端从不同FQDNs收到的cookie含有不同的会话ID,客户端结束处理。AM服务保存主SSOToken和restricted token的关联关系,客户端在AM内部只有一个主SSOToken。
     
     AM不仅记录初始重定向到认证的代理,也会跟踪使用这个 SSO token的所有应用,AM利用这个信息控制后续请求的处理,防止未授权访问受保护web资源。


下面列出了4个与会话cookie劫持相关的问题及AM对应的解决方法:

 
 
FQDN:(Fully Qualified Domain Name)完全合格域名/全称域名,是指主机名加上全路径,全路径中列出了序列中所有域成员。全域名可以从逻辑上准确地表示出主机在什么地方,也可以说全域名是主机名的一种完全表示形式。从全域名中包含的信息可以看出主机在域名树中的位置。
 
iPlanet是升阳(SUN)公司微系统对网络服务器和相关程序的解决方案。Iplanet包括电子商务服务、端口服务、通信服务,网络和应用软件服务以及用户管理服务。商业服务让企业能够展开安全的帐单支付和销售业务。端口服务使得企业可以辨别那些在定制端口使用浏览器和拨号上网连接的雇员、供应商和消费者。

转载于:https://www.cnblogs.com/wuyuxiang/p/5166722.html

weixin_30925411
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sso登陆劫持漏洞(单点登录劫持,低危)
墨痕诉清风的博客
10-15 3930
如果使用以下token,再次访问http://abc.com.test/Account/Login,可以发现已经登陆。这里可以理解为,门卫不知道你是谁,然后让你去某某处盖章,你去盖章完成后回到门卫处,门外验证红章没问题就让你通过。sso设计目的是简化登陆方式,可能有很多系统,但是多个系统都是一个机构的,每个系统每次都要分别登陆就很复杂。提交后,网页提示无法连接abc.com.test,并且抓取到了一段数据包,包含了登陆成功的token。sso单点登陆,用户一次登陆,所有系统都可访问。...
IBM WebSeal实例配置文件webseald-实例名.conf
快跑专栏
05-13 1万+
## FILENAME# webseald.conf## DESCRIPTION# Configuration file for the Access Manager WebSEAL server (webseald)#[server]################################ WEBSEAL GENERAL###############################
一种真正意义上的Session劫持[转]
weixin_34380948的博客
01-13 93
Author: jianxin [80sec]EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2008-12-24From: http://www.80sec.com/release/session-hijacking.txt [ 目录 ] 0×00 应用程序认证设计背景0×01 常规攻击思路及缺陷0×02 利用应用程序设计缺陷进...
关于cookie和session的好文章
aogou1880的博客
07-03 210
cookie与session应用于互联网中的一项基本技术——话(用户与客户端的交互)跟踪技术,用来跟踪用户的整个话。简单来说,cookie是通过在客户端记录信息确定用户身份的,而session则通过在服务器端记录信息确定用户身份。 cookie定义 cookie是服务器传给客户端的体积很小的纯文本文件。客户端请求服务器,如果服务器需要记录该用户状态,就向客户端浏览器发一个coo...
手撕一套sso(单点登录)系统之原理篇1
qq_41544289的博客
02-22 5417
在手撕之前,你首先要了解一些原理,我写的案例成品可以访问zauth
单点登录SSO(Single Sign On)
weixin_38380811的博客
12-04 539
单点登录SSO(Single Sign On)
12_CDSSO配置手册
03-05
根据给定的文件信息,我们可以总结出以下关于“12_CDSSO配置手册”的关键IT知识点: ### 一、CDSSO配置背景与目标 **背景:** 中国联合通信有限公司(简称联通)在进行MSS二期试点项目时,为了实现不同门户间的...
单点登录在校园身份管理系统中的实现
11-29
3. 跨域单点登录(CDSSO):考虑到校园环境中可能存在的多域名或子域名系统,CDSSO解决了不同域之间的身份认证问题。它通过特定的技术,如cookie共享或SAML协议,确保用户在跨域访问时仍能保持已认证的身份状态。 4...
sso单点登录--拦截器篇
yanming0507163的博客
08-21 5675
1.使用拦截器进行拦截(先判断cookie中是否有约定的token,无token直接跳转登陆页面。有token则判断token是否有效,无效则跳转登陆页面,有效获取returnurl,携带returnurl跳转到logincontroller)。 2.登陆logincontroller,login方法判断request的cookie中是否携带token,若无携带token则直接跳转登陆页面,若携
经典干货 | Taobao SSO 跨域登录过程解析
Java那些事
05-02 8558
目录基础知识测试过程禁用Cookie分布式Session 的常见解决方案思考Session 劫持与防范本质思考抓包工具介绍我们知道双十一是天猫的主场,双十二是淘宝的主场,你有没有注意到你在登录了淘宝后,访问天猫或者飞猪,你还是处于登录态的,但是我们知道cookie是不能跨域的。那么阿里是如何做到了多域名下的登录态同步呢?接下来我们通过抓包进行请求解析来了解这个过程。基础知识如果忘了Cookie和S...
Token令牌实现sso单点登陆和防止请求篡改
weixin_44211784的博客
04-25 1493
实现思路: 1.开发环境:SpringBoot +Shiro+layUi。 2.导入layUi的文件和jquery.cookie文件。 3.准备一个登陆页面和首页并导入相应的jquery文件。 4.后台接口设计:登陆接口。 5.shiro整合SpringBoot的配置类。 6.前台代码:localStorage和SessionStorage对象的使用。$...
HTTP劫持劫持的原理分析(转)
热门推荐
当今明月的专栏
09-25 1万+
现象描述 使用成都电信ADSL网络,浏览器使用Firefox 3.0.3, 安装了Google Toolbar工具。在Google Toolbar工具栏中输入任何搜索词,始终发现浏览器状态栏快速的闪动了一个非google的地址,然后又访问google网站返回搜索内容。仔细观察状态栏该地址,发现地址为”search.cninspirit.com”。把Google Toolbar各项设置重置已经
通用的C++数据结构代码实现,使用模板
08-26
通用的C++数据结构代码实现,使用模板
ant-design-vue-1.2.2.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
基于Django完成一个企业级的官方网站的制作.zip
最新发布
08-26
基于Django完成一个企业级的官方网站的制作.zip
springboot364高校科研信息管理系统pf.zip
08-26
信息数据从传统到当代,是一直在变革当中,突如其来的互联网让传统的信息管理看到了革命性的曙光,因为传统信息管理从时效性,还是安全性,还是可操作性等各个方面来讲,遇到了互联网时代才发现能补上自古以来的短板,有效的提升管理的效率和业务水平。传统的管理模式,时间越久管理的内容越多,也需要更多的人来对数据进行整理,并且数据的汇总查询方面效率也是极其的低下,并且数据安全方面永远不保证安全性能。结合数据内容管理的种种缺点,在互联网时代都可以得到有效的补充。结合先进的互联网技术,开发符合需求的软件,让数据内容管理不管是从录入的及时性,查看的及时性还是汇总分析的及时性,都能让正确率达到最高,管理更加的科学和便捷。本次开发的高校科研信息管理系统实现了操作日志管理、字典管理、反馈管理、公告管理、科研成果管理、科研项目管理、通知管理、学术活动管理、学院部门管理、科研人员管理、管理员管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让高校科研信息管理系统更能从理念走到现实,确确实实的让人们提升信息处理效率。
springboot363高校竞赛管理系统--pf.zip
08-26
高校竞赛管理系统管理系统按照操作主体分为管理员和用户。管理员的功能包括字典管理、论坛管理、竞赛公告管理、获奖管理、老师管理、评审管理、评审分配管理、评审打分管理、赛事管理、赛事提交管理、赛事报名管理、用户管理、专家管理、管理员管理。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。 高校竞赛管理系统管理系统可以提高高校竞赛管理系统信息管理问题的解决效率,优化高校竞赛管理系统信息处理流程,保证高校竞赛管理系统信息数据的安全,它是一个非常可靠,非常安全的应用程序。
ssm455重庆理工大学心理咨询管理子系统的分析与实现+jsp.zip
08-26
重庆理工大学心理咨询管理子系统主要是为学生提供心理咨询服务,该系统实现的功能包括学生基本信息管理,教师基本信息管理、队列查询、咨询预约,咨询报告等。
中国联通MSS二期试点:CDSSO配置手册
"11_SSO配置手册是中国联通MSS二期试点项目的一部分,由IBM编写的《CDSSO配置手册》。手册版本为V1.0(草案),内容涉及SSO(Single Sign-On)的配置过程,包括软件安装、安装流程和安装前的准备工作。手册详细介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值