会话标示未更新解决方案

最新推荐文章于 2023-12-20 15:17:17 发布
最新推荐文章于 2023-12-20 15:17:17 发布
阅读量1k 收藏 1
点赞数
文章标签: php c# java
原文链接:http://blog.51cto.com/116833/2113410
版权

JSF项目,用appscan检测,报“会话标示未更新”漏洞,漏洞详情:用户在登陆应用程序前后,其会话标识一样,未进行更新,从而可以窃取或操作客户会话和Cookie,进行查看、变更用户信息及执行事务等操作。

推理: 测试结果似乎指示存在脆弱性,因为“原始请求”和“响应”中的会话标识相同。这些标志应该已在响应中更新。

JSF页面在打开时,就会生成一个sessionid,登录后的sessionid未发生变化。
解决方案:
后台登陆方法,加入强行销毁session的代码,并重新生成新session。

代码转自:http://huangqiqing123.iteye.com/blog/2031455

/** 
 * 重置sessionid,原session中的数据自动转存到新session中 
 * @param request 
 */  
public static void reGenerateSessionId(HttpServletRequest request){  

    HttpSession session = request.getSession();  

    //首先将原session中的数据转移至一临时map中  
    Map<String,Object> tempMap = new HashMap();  
    Enumeration<String> sessionNames = session.getAttributeNames();  
    while(sessionNames.hasMoreElements()){  
        String sessionName = sessionNames.nextElement();  
        tempMap.put(sessionName, session.getAttribute(sessionName));  
    }  

    //注销原session,为的是重置sessionId  
    session.invalidate();  

    //将临时map中的数据转移至新session  
    session = request.getSession();  
    for(Map.Entry<String, Object> entry : tempMap.entrySet()){  
        session.setAttribute(entry.getKey(), entry.getValue());  
    }  
}

转载于:https://blog.51cto.com/116833/2113410

weixin_34259559
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts2解决更新会话标识
07-16
- "会话标识更新问题 - yutan_313的专栏 - 博客频道 - CSDN.NET.mht":这个文件可能包含了作者yutan_313对会话标识更新问题的详细分析和解决方案,可能包括具体的代码示例和调试步骤。 - "STRUTS2获得session和...
浅谈“会话标识更新漏洞”
→_→
07-25 1486
一:漏洞名称: 会话操纵、会话标识更新 描述: 会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 检测条件: 已知Web网站地址 Web业务运行正常 Web业务存在登陆认证模块 已知正确的
WEB安全漏洞之会话标识更新漏洞(.net强制更新会话标识)
yinshengchen的博客
07-27 655
【代码】WEB安全漏洞之会话标识更新漏洞(.net强制更新会话标识)
会话标识更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
会话标识更新漏洞 原理以及修复方法
最新发布
it知识分享 free for nothing..
12-20 523
会话标识更新漏洞 原理以及修复方法
会话标识更新 java_java或者jsp中修复会话标识更新漏洞
weixin_39884412的博客
02-13 148
appscan扫描出来的。1. 漏洞产生的原因:AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。2.AppScan中,对“会话标识更新”提供了修改建议:一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵...
音视频多人会话解决方案服务端.zip
10-20
音视频多人会话解决方案服务端是一种复杂而关键的技术体系,主要应用于在线会议、远程教育、游戏语音聊天等场景。在当今数字化时代,这种技术已经变得不可或缺,为人们提供了跨越地域限制进行实时交流的方式。以下是...
记一次 删除 PostgresSql 数据库 报错:有 N 个其它会话正在使用数据库 的解决方案
12-14
一、数据库搭建 1、yum 指定目录安装 https://blog.csdn.net/llwy1428/article/details/105143053 2、yum 直接安装 ...3、编译安装 ...4、PostgreSql 基本操作 ...二、遇到的问题 在Postgre
JS Ajax请求会话过期处理问题解决方法分析
10-15
本文将深入探讨这个问题,并提供相应的解决方案会话过期通常发生在用户打开网页后,一段时间没有与服务器交互,服务器为了安全考虑会自动结束该用户的会话。对于传统的HTTP请求,服务器可以通过重定向到登录页面...
新华三云桌面解决方案介绍.pptx
10-11
解决方案还提供了许多功能,如批量软件分发、公用软件库、个人软件库、操作系统桌面虚拟机软件更新模型等。 此外,该解决方案还提供了许多保密功能,如桌面水印防泄密、应用软件黑名单等。桌面水印防泄密功能可以...
【AppScan深入浅出】修复漏洞:会话标识更新(中危)
编程的世界
08-31 3788
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
安全测试 关于会话标识更新的解决方法
charsli的专栏
10-30 955
最近本人搭了一个框架,用IBM Rational AppScan扫描出其中的一个安全漏洞,描述如下:[1 / 2] 会话标识更新 严重性: 高 测试类型: 应用程序 有漏洞的URL: *** 修复任务: 不要接受外部创建的会话标识. [b]会话标识更新[/b] 应用程序 WASC 威胁分类 授权类型:会话定置 http://www.webappsec.org/projects...
Session会话标识更新问题
qq_36468169的博客
07-09 2542
我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不会改变,因为没有建立新session,原来的ses...
java或者jsp中修复会话标识更新漏洞
yangzongzhuan的专栏
01-12 2848
appscan扫描出来的。 1. 漏洞产生的原因: AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。 2. AppScan中,对“会话标识更新”提供了修改建议: 一般修订建议 始终生成新的会话,供用户成功认证时登
会话标识更新的处理
lpl的博客
09-23 1248
解决一个会话标识更新的安全问题,网上的办法不尽能完全解决,最后这样搞了,记录一下。               网上看到的解法,首页加了段: //废弃登陆前的会话 if(request.getSession(false) != null){  request.getSession(false).invalidate(); } Cookie[] cookies = request
Appscan---会话标识更新
KerryRuan的专栏
04-05 2504
会话标识更新  严重性: 高  类型: 应用程序级别测试  WASC 威胁分类: 授权类型:会话定置  CVE 引用: 不适用  安全风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 ---------------------------------------------------------
登陆验证前更新session 会话标识更新
neusoft-mengxiaoming的专栏
07-26 4933
会话标识更新 严重性: 中 CVSS 分数: 6.4 URL: http://127.0.0.1/test/j_unieap_security_check.do 实体: j_unieap_security_check.do (Page) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 原因: Web 应用程序编...
WEB安全漏洞之会话标识更新漏洞
Agonie_25的博客
05-20 1684
漏洞说明 在用户进入登录页面,但还登录时,会产生一个session,用户输入信息,登录以后,session的id没有改变,也就是说没有建立新session,原来的session没有被销毁, 可以继续使用,黑客可利用此漏洞窃取或操纵客户会话和cookie,用于模仿合法用户,从而能够以该用户身份查看或变更用户记录以及执行事务。 简单的说,就是登录前后的JSESSIONID没有变化。 修复方案 核心思...
java 注销后会话失效 修复
06-09
3. 清除会话数据:在注销时,必须清除会话数据。如果清除会话数据,那么在下一个用户登录时,他可能会看到之前用户的数据。 为了修复会话失效的问题,可以采取以下措施: 1. 在注销时,调用Session....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值