一:漏洞名称:
会话操纵、会话标识未更新漏洞
描述:
会话标识未更新漏洞,在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。
检测条件:
- 已知Web网站地址
- Web业务运行正常
- Web业务存在登陆认证模块
- 已知正确的用户名、口令
检测方法:
- 打开网站登录页面。
- 登陆前通过软件工具抓取到的cookie信息值与在登录后抓取到的cookie进行对比,如果其值一样,则可判断其会话的cookies或者sessions未进行更新。
登录前:Cookie: JSESSIONID=0000QG_uEL3xnYACkk2dHbZtcJy:-1
登录后:Cookie: JSESSIONID=0000QG_uEL3xnYACkk2dHbZtcJy:-1
漏洞修复:
始终生成新的会话,供用户成功认证时登录登陆界面和登陆成功的界面一致时, 修改后台逻辑,在验证登陆逻辑的时候,先强制让当前session过期,然后用新的session存储信息:登陆界面和登陆成功的界面不一致时 在登陆界面后增加下面一段代码,强制让系统session过期。
request.getSession().invalidate();//清空session Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0);//让cookie过期 ;
注意:这段代码需要在页面的最后部分加上才可以,否则将报错
另外一种方式利用JSP的一些特性,不让登录页面产生Session
<% page session=”false” %>
这里在提供一个,仅供参考:(来自:https://blog.51cto.com/116833/2113410)
/** * 重置sessionid,原session中的数据自动转存到新session中 * @param request */ public static void reGenerateSessionId(HttpServletRequest request){ HttpSession session = request.getSession(); //首先将原session中的数据转移至一临时map中 Map<String,Object> tempMap = new HashMap(); Enumeration<String> sessionNames = session.getAttributeNames(); while(sessionNames.hasMoreElements()){ String sessionName = sessionNames.nextElement(); tempMap.put(sessionName, session.getAttribute(sessionName)); } //注销原session,为的是重置sessionId session.invalidate(); //将临时map中的数据转移至新session session = request.getSession(); for(Map.Entry<String, Object> entry : tempMap.entrySet()){ session.setAttribute(entry.getKey(), entry.getValue()); } }
其他补充说明:
1.解决shiro会话标识未更新问题
要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。
一般的解决方法如下:public void login(HttpServletRequest request, ...){ // 让旧session失效 request.getSession(true).invalidate(); //登录验证 }
但是,如果使用了shiro框架,这样做会报错:...Session already invalidated。原因是shiro对HttpSession进行了一层包装,你直接让原生的session失效,没有通知shiro,shiro再去使用session时就会报错了。
解决方法,不要使用原生的失效方法,而是使用shiro自己提供的api方法:SecurityUtils.getSubject().logout();public void login(String username,String password){ // 让旧session失效 SecurityUtils.getSubject().logout(); //登录验证 }
2.解决Tomcat下会话标识未更新漏洞
参考:https://blog.csdn.net/happylee6688/article/details/42104375
3.关于Cookie和Session知识