浅谈“会话标识未更新漏洞”

最新推荐文章于 2024-03-29 12:21:58 发布
最新推荐文章于 2024-03-29 12:21:58 发布
阅读量1.5k 收藏 3
点赞数 2
分类专栏: Web安全之授权类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39934520/article/details/107576138
版权

一:漏洞名称:

会话操纵、会话标识未更新漏洞

描述:

会话标识未更新漏洞,在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

检测条件:

  1. 已知Web网站地址
  2. Web业务运行正常
  3. Web业务存在登陆认证模块
  4. 已知正确的用户名、口令

检测方法:

  1. 打开网站登录页面。
  2. 登陆前通过软件工具抓取到的cookie信息值与在登录后抓取到的cookie进行对比,如果其值一样,则可判断其会话的cookies或者sessions未进行更新。

登录前:Cookie: JSESSIONID=0000QG_uEL3xnYACkk2dHbZtcJy:-1

登录后:Cookie: JSESSIONID=0000QG_uEL3xnYACkk2dHbZtcJy:-1

漏洞修复:

始终生成新的会话,供用户成功认证时登录登陆界面和登陆成功的界面一致时, 修改后台逻辑,在验证登陆逻辑的时候,先强制让当前session过期,然后用新的session存储信息:登陆界面和登陆成功的界面不一致时 在登陆界面后增加下面一段代码,强制让系统session过期。

request.getSession().invalidate();//清空session 
Cookie cookie = request.getCookies()[0];//获取cookie 
cookie.setMaxAge(0);//让cookie过期 ;

注意:这段代码需要在页面的最后部分加上才可以,否则将报错

另外一种方式利用JSP的一些特性,不让登录页面产生Session 

<% page session=”false” %>

这里在提供一个,仅供参考:(来自:https://blog.51cto.com/116833/2113410

/** 
 * 重置sessionid,原session中的数据自动转存到新session中 
 * @param request 
 */  
public static void reGenerateSessionId(HttpServletRequest request){  

    HttpSession session = request.getSession();  

    //首先将原session中的数据转移至一临时map中  
    Map<String,Object> tempMap = new HashMap();  
    Enumeration<String> sessionNames = session.getAttributeNames();  
    while(sessionNames.hasMoreElements()){  
        String sessionName = sessionNames.nextElement();  
        tempMap.put(sessionName, session.getAttribute(sessionName));  
    }  

    //注销原session,为的是重置sessionId  
    session.invalidate();  

    //将临时map中的数据转移至新session  
    session = request.getSession();  
    for(Map.Entry<String, Object> entry : tempMap.entrySet()){  
        session.setAttribute(entry.getKey(), entry.getValue());  
    }  
}

 

其他补充说明:

1.解决shiro会话标识未更新问题

要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。 
一般的解决方法如下:

public void login(HttpServletRequest request, ...){
     // 让旧session失效
     request.getSession(true).invalidate();
     //登录验证
}

但是,如果使用了shiro框架,这样做会报错:...Session already invalidated。原因是shiro对HttpSession进行了一层包装,你直接让原生的session失效,没有通知shiro,shiro再去使用session时就会报错了。
解决方法,不要使用原生的失效方法,而是使用shiro自己提供的api方法:SecurityUtils.getSubject().logout();

public void login(String username,String password){
     // 让旧session失效
     SecurityUtils.getSubject().logout();
     //登录验证
}

2.解决Tomcat下会话标识未更新漏洞

参考:https://blog.csdn.net/happylee6688/article/details/42104375

3.关于Cookie和Session知识

参考:cookie & session

 

红烧兔纸
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
会话标识更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
WEB安全漏洞会话标识更新漏洞
Agonie_25的博客
05-20 1686
漏洞说明 在用户进入登录页面,但还登录时,会产生一个session,用户输入信息,登录以后,session的id没有改变,也就是说没有建立新session,原来的session没有被销毁, 可以继续使用,黑客可利用此漏洞窃取或操纵客户会话和cookie,用于模仿合法用户,从而能够以该用户身份查看或变更用户记录以及执行事务。 简单的说,就是登录前后的JSESSIONID没有变化。 修复方案 核心思...
会话标识更新 java_java或者jsp中修复会话标识更新漏洞
weixin_39884412的博客
02-13 154
appscan扫描出来的。1. 漏洞产生的原因:AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新漏洞。2.AppScan中,对“会话标识更新”提供了修改建议:一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵...
会话标识更新
dieman0446的博客
06-12 234
会话标识更新 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因Web 应用程序编程或配置不安全技术描述 在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话。通常在以下情况下会观察到这样的场景: [1] Web 应用程序在没有首先废除现有...
会话标识更新 java_IBM Security Appscan漏洞--会话标识更新
weixin_27153203的博客
02-22 185
可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使***能够以该用户身份查看或变更用户记录以及执行事务 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”...
Struts2解决更新会话标识
07-16
- "会话标识更新问题 - yutan_313的专栏 - 博客频道 - CSDN.NET.mht":这个文件可能包含了作者yutan_313对会话标识更新问题的详细分析和解决方案,可能包括具体的代码示例和调试步骤。 - "STRUTS2获得session和...
php session 会话固定漏洞
02-27
本书详细阐述了php中的session会话固定漏洞可能引发的安全问题,叙述了php代码审计的一些tips。
011-Web安全基础7 - 会话管理漏洞.pptx
10-11
会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的...会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。
浅谈企业用IP PBX替代旧式PBX的好处
10-22
 IP PBX是能通过IP数据网络提供电话拨打的一套完整技术,所有的会话会以数据方式在网络上传递。  该技术不仅包含高级的通讯功能,还为企业提供了寻觅已久可扩展性以及可靠性。IP PBX还可以通过可选网关连接到传统...
会话标识更新 java_Appscan漏洞会话标识更新
weixin_42138703的博客
02-22 755
本次针对Appscan漏洞会话标识更新进行总结,如下:1. 会话标识更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cooki...
【安全漏洞-WEB类】会话标识更新
最新发布
03-29 403
会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。注意:这段代码需要在页面的最后部分加上才可以,否则将报错,或者可以加入到登录验证成功的代码后面。
会话标识更新漏洞 原理以及修复方法
it知识分享 free for nothing..
12-20 551
会话标识更新漏洞 原理以及修复方法
WEB安全漏洞会话标识更新漏洞(.net强制更新会话标识
yinshengchen的博客
07-27 670
【代码】WEB安全漏洞会话标识更新漏洞(.net强制更新会话标识
WEB安全实战(七)会话标识更新
热门推荐
紫羽风的博客
12-23 1万+
序 上一篇文章中,我们讨论了关于“浏览器记住用户名和密码”的问题,至于这篇文章嘛,我想谈谈关于“会话标识”的漏洞。而且,这篇文章也是“Web安全实战”系列的最后一篇。为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均找到合适的解决方案。其中的过程就不再废话了,转到正题。
会话标识更新的处理
lpl的博客
09-23 1256
解决一个会话标识更新的安全问题,网上的办法不尽能完全解决,最后这样搞了,记录一下。               网上看到的解法,首页加了段: //废弃登陆前的会话 if(request.getSession(false) != null){  request.getSession(false).invalidate(); } Cookie[] cookies = request
会话标识失效漏洞
94小菜
01-04 3118
简介: Session 是应用系统对浏览器客户端身份认证的属性标识,在用户注销或关闭浏览器时,系统应将客户端Session 认证属性标识清空 危害: 如果能清空 Session 认证会话,该认证会话将持续有效,此时攻击者获得该Session 认证会话会导致用户权限被盗取 漏洞挖掘: 1、登录状态点击注销,浏览器后退,若返回数据说明存在漏洞;若跳转登录页面说明无漏洞 2、登录状态点击注销,重复发送带有之前sessionID的数据包,若有数据返回说明存在漏洞 修复建议: 在用户注销或退出应用系统时,服务器应及
会话标识更新 java_【AppScan深入浅出】修复漏洞会话标识更新(中危)
weixin_30089411的博客
02-22 164
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。关于漏洞的产生“会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值