[AppScan深入浅出]修复漏洞:会话标识未更新

最新推荐文章于 2023-02-02 13:48:10 发布
最新推荐文章于 2023-02-02 13:48:10 发布
阅读量283 收藏
点赞数
分类专栏: java 文章标签: 测试 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaomin1991222/article/details/84507420
版权

“会话标识未更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞。

 

解决:

在登录页面上加上一段代码:
request.getSession().invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期

然后用户再输入信息登录时,就会产生一个新的session了。

xiaomin_____
关注
专栏目录
appscan安全漏洞修复
12-21
2. 会话标识更新会话管理是Web应用安全性的重要组成部分。若会话标识在用户登录、权限更改或其他敏感操作后及时更新,可能导致会话劫持。解决办法是在关键操作后强制生成新的会话ID,确保即使会话被拦截,攻击...
AppScan深入浅出修复漏洞会话标识更新(中危)
编程的世界
08-31 3851
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
AppScan安全扫描:会话标识更新
爱兰河少
01-30 1352
    会话标识更新:在登录页面中存在一个动态的验证码,这个验证码每次获取后会存放于客户端的session中,而若登录失败后会再次跳回到登录页面,而在AppScan做安全扫描时就会误认为因该是新的请求会话,而新的会话则需要用新的Session(sessionId不一样即可),而我们很多时候登录失败后的错误提示信息会封装到session中,这样会方便前台直接读取,因此就会导致会话标识更新的安全问...
会话标识更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
关于AppScan安全检测会话标识更新
y562363753的博客
08-20 4015
会话标识更新 严重性: 中 CVSS 分数: 6.4 URL: http://119.60.12.114:18079/NXZDWRYZXJC/action/user/login 实体: login (Page) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务 原因: Web 应用程序编程或配置不...
AppScan 会话标识更新 处理方案
八音初穗的博客
03-21 1159
之前是采用了百度到的 session.Abandon的方式但是客户网络环境的问题 会在内网情况下 莫名其妙导致session丢失 取消这个标记后 ,会导致通不过机器扫描,然后采用了https://bbs.csdn.net/topics/390072229此问题的happylm88的回复 response.Cookies["ASP.NET_SessionId"].Expires=Syst...
IBM Appscan爆高危漏洞 广大用户需及时修复
10-23
IBM AppScan是一款由IBM开发的知名Web应用程序安全扫描工具,它被广泛用于检测和预防潜在的网络安全问题。最近,这款工具被发现存在高危级别的远程溢出漏洞,主要影响7.9和8.0两个版本。此漏洞的存在使得攻击者有...
javaWeb安全验证漏洞修复总结.doc
11-29
为了检测和修复会话标识更新漏洞,可以使用 APPSCAN 等安全扫描工具对应用程序进行扫描和检测。这些工具可以检测到潜在的漏洞,并提供修复建议。 应用程序解决方案 为了避免会话标识更新漏洞,开发者需要采取...
AppScan扫描工具
11-21
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库...
Struts2解决更新会话标识
07-16
Struts2解决更新会话标识
会话标识更新 java_Appscan漏洞会话标识更新
weixin_42138703的博客
02-22 776
本次针对Appscan漏洞会话标识更新进行总结,如下:1. 会话标识更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cooki...
java或者jsp中修复会话标识更新漏洞
yangzongzhuan的专栏
01-12 2891
appscan扫描出来的。 1. 漏洞产生的原因: AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新漏洞。 2. AppScan中,对“会话标识更新”提供了修改建议: 一般修订建议 始终生成新的会话,供用户成功认证时登
安全测试 关于会话标识更新的解决方法
charsli的专栏
10-30 975
最近本人搭了一个框架,用IBM Rational AppScan扫描出其中的一个安全漏洞,描述如下:[1 / 2] 会话标识更新 严重性: 高 测试类型: 应用程序 有漏洞的URL: *** 修复任务: 不要接受外部创建的会话标识. [b]会话标识更新[/b] 应用程序 WASC 威胁分类 授权类型:会话定置 http://www.webappsec.org/projects...
常见web开发安全漏洞修复方案
最新发布
小刘的博客
02-02 3566
1.不充分账户封锁 (一) 安全问题描述 发送了两次合法的登录尝试,并且在其间发送了几次错误的登录尝试。最后一个响应与第一个响应相同。这表明存在充分实施帐户封锁的情况,从而使登录页面可能受到蛮力攻击 解决方案 效果,当用户登录错误3次,则提醒30分钟后才可再次登录 if(!checkLock(session, username)) { Syst...
Session会话标识更新问题
qq_36468169的博客
07-09 2626
我的系统在做AppScan安全扫描时,爆出一个高危漏洞会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不会改变,因为没有建立新session,原来的ses...
Appscan---会话标识更新
KerryRuan的专栏
04-05 2586
会话标识更新  严重性: 高  类型: 应用程序级别测试  WASC 威胁分类: 授权类型:会话定置  CVE 引用: 不适用  安全风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 ---------------------------------------------------------
AppScan Standard v10.5:深度Web漏洞检测工具
AppScan Standard v10.5版本能够自动化识别Web应用程序的安全漏洞,包括常见的注入攻击、跨站脚本(XSS)、跨站请求伪造(CSRF)等,帮助开发人员和安全专家在应用程序发布之前发现并修复安全问题。 AppScan-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值