简单的重写重置SessionID

最新推荐文章于 2022-07-27 10:02:24 发布
最新推荐文章于 2022-07-27 10:02:24 发布
阅读量651 收藏
点赞数
文章标签: php java

因为听说竟然有人能通过目前的SessionID算出接下来的SessionID,所以重写一下,防止Session攻击

StringFormat 类没用返回什么都行,这里我变成了base64编码

 

Common.SessionIdOverride
{
    public class SessionIdOverride : System.Web.SessionState.SessionIDManager
    {


        public SessionIdOverride()
        {
            //
            // TODO: Add constructor logic here
            //
        }
        public override string CreateSessionID(HttpContext context)
        {
           
            string sessionString = Guid.NewGuid().ToString() + context.Request.UserHostAddress;
            Tools.StringFormat.StringFormat sf = new Tools.StringFormat.StringFormat();
            return sf.ToBase64Str(sessionString);
        }
    }
}

webconfig

    <sessionState mode="InProc" cookieless="UseDeviceProfile"  timeout="20" regenerateExpiredSessionId="true" sessionIDManagerType="Common.SessionIdOverride.SessionIdOverride" cookieName="ASP.NET_SessionId" />

页面重置Session

        Session.Abandon();
        Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

 

在这里有个奇怪的地方,重写机制我可能没有完全明白,是这样的现象

当重写SessionID时写上这个Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

SessionID确实变成空了,但是如果不重写SessionID写上这个SessionID还是存在的?留待以后解决

 
weixin_33851604
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
6.2 Go如何使用session
Kaitiren的专栏
02-01 490
通过上一小节的介绍,我们知道session是在服务器端实现的一种用户和服务器之间认证的解决方案,目前Go标准包没有为session提供任何支持,这小节我们将会自己动手来实现go版本的session管理和创建。 session创建过程 session的基本原理是由服务器为每个会话维护一份信息数据,客户端和服务端依靠一个全局唯一的标识来访问这份数据,以达到交互的目的。当用户访问Web应用时,服务端程序会随需要创建session,这个过程可以概括为三个步骤: 生成全局唯一标识符(sessionid); 开
Springboot系列-整合Session共享
Thinkao 的博客
01-21 470
Springboot系列-整合Session共享 前言:大家可能都清楚Web三大概念:cookie、session、application,因此对session也并不陌生,此篇博客将主要针对于session以及session的整合做出介绍 关于Session 简介:Session与cookie功能效果一样,Session与Cookie的区别在于Session是记录在服务端的,而Cookie是记...
URL重写及Session
高精尖发展
03-23 3304
先粘=一段: Session对象:是用来分别保存每一个用户信息的对象,以便于跟踪用户的操作状态; Session的信息保存在服务端 Session的ID保存在客户机的Cookie中。 事实上,在许多服务器上,如果浏览器支持Cookies的话就直接使用Cookies.但是如果不支持或废除了Cookies的话就自动转化为URL-rewriting , Session自动为每
php 重写sessionid,PHP 重置 phpsessionid
weixin_35089715的博客
03-09 778
web应用中,出于安全性考虑,有时会要求用户成功登录系统后重置会话id,即phpsessionidphp自4.3.3版本针对该需求提供了函数:class="type">bool session_regenerate_id ([ bool $delete_old_session= false ] )?1、如果指定参数monospace; line-height: 1.5;">$dele...
java 重写session_[JAVA] Session,Cookie,jsessionid和Url重写
weixin_42679995的博客
02-25 367
由JSESSIONID谈cookie与SESSION的区别和联系在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码:< % cookie[]cookies = request.getCookies();if (cookies.lenght == 0 || cookies == null){d...
java 重写session_使用Shiro重写Session
weixin_39884323的博客
03-05 235
引入shiro的jar包1.2.3org.apache.shiroshiro-core${shiroVersion}org.apache.shiroshiro-web${shiroVersion}org.apache.shiroshiro-ehcache${shiroVersion}org.apache.shiroshiro-spring${shiroVersion}配置shiro(web.xml...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
java 重写session_SpringSession 请求与响应重写的实现
weixin_33571513的博客
02-12 1057
我们知道, HttpServletRequset 和 HttpServletResponse 是 Servlet 标准所指定Java 语言与 Web 容器进行交互的接口。接口本身只规定 java 语言对 web 容器进行访问的行为方式,而具体的实现是由不同的 web 容器在其内部实现的。那么在运行期,当我们需要对 HttpServletRequset 和 HttpServletResponse...
Shiro 自己实现登录后重新生成sessionid
热门推荐
cloud的技术积累
02-07 2万+
学Spring Security来实现重新生成Session
会话追踪技术:cookie、 URL重写
程序媛乐园
10-09 394
servlet day4+ 会话追踪技术:cookie http协议的访问是无状态的访问 当前访问是不会知道之前访问的状态的.(http协议的访问是不会帮我们保存访问的记录/痕迹的)。 有些时候需要记录之前的访问状态 比如在购物网站的时候,第一次访问点击购买了一个手机,第二次访问点击购买了一个电脑,第三次访问点击购物车结算,这个时候我们就必须知道前俩次访问的时候购买了什么,要不然就没有方法去结算。...
会话标识未更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
ASP.NET中 SessionID的本质
syaguang2006的专栏
09-18 8794
ASP.NET中 SessionID的本质
Session攻击
凉茶铺的博客
07-27 1251
形象地说,假设系统是一间屋子,持有钥匙的人可以开门进入屋子,那么屋子就是通过“锁和钥匙的匹配”来进行认证的,认证的过程就是开锁的过程。因此,当认证成功后,就需要替换一个对用户透明的凭证。如果进来的是屋子的主人,那么他可以坐在沙发上看电视,也可以进到卧室睡觉,可以做任何他想做的事情,因为他具有屋子的“最高权限”。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。...
用户登陆成功修改SessionId
weixin_41591944的博客
12-09 4284
问题场景 用户进入登陆页面的时候会生成一个SessionId,登陆成功后会带着这个一开始生成的SessionId进行后续的操作,但是这样的话就有一个问题,恶意攻击者可以抓取一开始的这个SessionId去伪造请求,所以登陆成功后需要更新SessionId,并且让浏览器的Cooike也随之修改。 解决方案: 其实是一个很简单的修改办法,但是百度了很久,都是一些不管用的,所以自己去看了一下HttpRequset接口里面的代码。 req是HttpServletRequest ...
java web 登录后更新JSESSIONID
u014538198的专栏
11-29 3142
登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。   javaweb程序强制更新JSESSIONID的方法 Java代码   /**   * 重置sessionid,原session中的数据自动转存到新session中
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6499
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
java获取客户端请求中cookie中的sessionId,销毁session重新建立sessionId
Li_Zhongxin的博客
07-28 1万+
import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; impor...
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1367
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
cookie中没有sessionid
最新发布
07-15
2. URL Rewriting(URL 重写):在某些情况下,服务器可能会将 session ID 直接附加在 URL 参数中。例如,`http://example.com/page?sessionid=xxx`。前端可以通过从 URL 参数中提取 session ID 来获取会话相关数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值