解决springboot项目shiro框架下的AppScan漏洞会话标识未更新问题

最新推荐文章于 2024-03-28 09:31:07 发布
最新推荐文章于 2024-03-28 09:31:07 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 安全类问题 JavaWeb相关 文章标签: java web安全 会话标识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44299027/article/details/100194542
版权

最近做的一个springboot项目 + shiro框架,在做安全漏洞检查时爆出了一个安全漏洞:会话标识未更新。用的扫描工具是IBM的AppScan。

要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。 

一般的解决方法如下:

    public void login(HttpServletRequest request, ...){
         // 让旧session失效
         request.getSession(true).invalidate();
         //登录验证
    }

还有一种方案:

在登录页面上加上一段代码:
request.getSession().invalidate();//清空session
Cookie cookie = request.getCookies()0;//获取cookie
cookie.setMaxAge(0);//让cookie过期

然后用户再输入信息登录时,就会产生一个新的session了。

----------------------------------------------------------------------------------

但是,如果使用了shiro框架,这样做会报错:...httpSession has been already invalidated。原因是shiro对HttpSession进行了一层包装,你直接让原生的session失效,没有通知shiro,shiro再去使用session时就会报错了。
最终的解决方法,不要使用原生的失效方法,而是使用shiro自己提供的api方法:SecurityUtils.getSubject().logout();

最终方案如下:

public Map<String, Object> login(HttpServletRequest request, String username, String password) {
    
        // 让旧session失效,这一句代码一定要放在登录验证的最前面
        SecurityUtils.getSubject().logout();
        // 登录验证
        ......
        
    }

本次针对 Appscan漏洞 会话标识未更新 进行总结,如下:

1.1、攻击原理

  在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。

1.2、APPSCAN测试过程

  AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞

1.3、修复建议(目前只是Apache Shiro安全框架下的修复建议)

  若使用的是Apache Shiro安全框架,可使用SecurityUtils.getSubject().logout()方法,参考:http://blog.csdn.net/yycdaizi/article/details/45013397

 

 

No8g攻城狮
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
ShiroScanner
05-14
ShiroScanner 2021.3.19 采用SimplePrincipalCollection检测shiro漏洞,可以检测不出网的情况。 一款burp插件 用来扫描shiro反序列化的插件,装上后流量流过burp就行,会被动扫描,有漏洞就会输出。 本工具仅供测试使用,切勿用于违法用途。
会话标识更新 java_java或者jsp中修复会话标识更新漏洞
weixin_39884412的博客
02-13 139
appscan扫描出来的。1. 漏洞产生的原因:AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新漏洞。2.AppScan中,对“会话标识更新”提供了修改建议:一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵...
Shiro框架漏洞详解及复现
m0_64481831的博客
03-07 1263
Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。借助Shiro易于理解的API,用户可以快速轻松地保护任何应用程序----从最小的移动应用程序到最大的web和企业应用程序。Shiro是一个Java安全框架,用于执行身份验证、授权、密码和会话验证。
会话标识更新漏洞 原理以及修复方法
it知识分享 free for nothing..
12-20 473
会话标识更新漏洞 原理以及修复方法
AppScan进行测试的过程中常见故障及解决方法
weixin_42874924的博客
12-01 8621
1.AppScan的扫描只有登陆的页面,无法扫描其他菜单 一般测试的项目会有验证码什么的,可以先把多余的注释掉,然后再重新扫描,如果只有用户名和密码,就需要排查一下登录页是否存在问题,不过也有一些项目无法进行自动扫描,可以进行手动探索,将页面上的可见的尽可能都点到,可以分多次进行 2.使用外部浏览器,最好使用IE的,其他的好像多少有点毛病,谷歌的在进行手动探索时无法获取url(appscan9.0.1.1,暂时解决) 3.Appscan扫描时卡住不动的问题 均在探索的时候,在不同的地方卡住不动,暂停按钮
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 2959
Shiro1.7.1版本默认密钥的漏洞
appscan检测到其已不在会话环境中
u012091079的博客
07-10 7781
转自:http://www.jqpress.com/post/463.aspx appscan检测到其已不在会话环境中,解决这个问题在百度到51test貌似都没有正确的答案,作为码农兼山寨白帽子表示对测试人员的社区担忧啊,还是自己摸索到了原来是设置登录管理的,登录方法->自动,然后输入对应登录的用户名密码,即可。如下图: ...
基于Springboot+shiro框架的仿电商后端项目源码.zip
02-20
基于Springboot+shiro框架的仿电商后端项目源码.zip 基于Springboot+shiro框架的仿电商后端项目源码.zip 基于Springboot+shiro框架的仿电商后端项目源码.zip 基于Springboot+shiro框架的仿电商后端项目源码.zip
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
maven+springboot+shiro框架框架开发源代码
04-17
maven在线引用jar包。springboot+shiro实现用户认证和资源授权。
springbootshiro安全框架的整合
08-05
Springboot+shiro springbootshiro安全框架的整合,适合初学者。
ShiroScan-1.1.jar
04-21
Shiro扫描工具
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
springboot-shiro
10-18
使用SpringBootshiro实现基于数据库的细粒度动态权限管理系统实例。
Appsacn进行全盘扫描时就提示不在会话
floraruo的博客
04-12 592
最近测试系统进行安全测试,碰到了以前没有遇到过的问题:扫描web应用程序进行全盘扫描时就提示不在会话中。在网上找了好久的资料,都没找到解决方案,疯球了,下午就得出测试报告。 登录方法试了记录、自动、提示(包括外部设备)均不行,审查验证时出现下面第二张图。 接着不知道为啥,新建的时候我不选择扫描web应用程序了,我选择了使用外部客户机扫描,然后开代理,手动录制,就成功了,居然成功了! ...
Burpsuite Shiro检测插件—ShiroScanner&ShiroScan&BurpPlugin_Shiro
afei001
04-05 3144
目录 1.前言 2.ShiroScanner插件 2.1 ShiroScanner介绍&导入 2.2 ShiroScanner的使用 3.ShiroScan插件 4.BurpPlugin_Shiro插件 1.前言 在对网站进行渗透时,如何判断网站是否使用了Shiro安全框架,以及如何检测是否存在Shiro反序列化漏洞呢?相关的Burp插件,已经有大佬写出来了。希望来某一天,自己也能写一个。 2.ShiroScanner插件 2.1 ShiroScann...
shrio反序列漏洞修复_GitHub - Ethancck/ShiroScan: Shiro RememberMe 1.2.4 反序列化漏洞图形化检测工具(Shiro-550)...
weixin_30865253的博客
01-17 942
Shiro反序列化检测工具ShiroScan用于检测存在Shiro反序列化漏洞的key值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测(XCheck,即Xray Check)。功能简介默认DNSLOG选择后会调用dnslog.cn的接口,生成一个域名,进行检测后,结果会输出在结果区域。...
Shiro漏洞检测
weixin_43554548的博客
05-10 8853
关于Shiro漏洞检测工具的使用说明Shiro-550反序列化漏洞简介漏洞检测工具工具一:ShiroExploit工具二:shiro_attack-2.2补充说明 Shiro-550反序列化漏洞简介 漏洞简介: Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户
探秘ShiroScan:一款强大的Web安全扫描工具
最新发布
gitblog_00062的博客
03-28 423
探秘ShiroScan:一款强大的Web安全扫描工具 项目地址:https://gitcode.com/Daybr4ak/ShiroScan 项目简介 ShiroScan 是一个由开发者 Daybr4ak 创建的开源Web安全扫描器。它旨在帮助网站管理员和安全研究人员识别潜在的安全漏洞,从而提升网站的安全性。ShiroScan 使用自动化的方式,可以节省大量手动审计的时间,并且具有良好的可扩展性,...
springboot整合shiro框架实现session会话超时
05-12
在使用 Spring Boot 整合 Shiro 进行开发时,可以通过配置 Shiro 的 session 过期时间来实现会话超时。具体实现步骤如下: 1. 在 Shiro 的配置文件中配置 session 过期时间: ```xml ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

No8g攻城狮

向每一个努力改变现状的你致敬!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值