关于AppScan安全检测会话标识未更新

最新推荐文章于 2022-12-01 12:41:28 发布
最新推荐文章于 2022-12-01 12:41:28 发布
阅读量3.9k 收藏 3
点赞数
分类专栏: JavaWeb学习 文章标签: 会话标识未更新 AppScan 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y562363753/article/details/81870048
版权

会话标识未更新
严重性: 中
CVSS 分数: 6.4
URL: http://119.60.12.114:18079/NXZDWRYZXJC/action/user/login
实体: login (Page)
风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查
看或变更用户记录以及执行事务
原因: Web 应用程序编程或配置不安全
固定值: 登录之后更改会话标识符值
差异:
推理: 测试结果似乎指示存在脆弱性,因为“原始请求”和“响应”中的会话标识相同。这些标志应该已在响应中更新。

解决方法
方案一:
如果不需要保留上一次的session,直接在每次访问登陆时清除上一次的session:

    在登录页面上加上一段代码:

request.getSession().invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期

然后用户再输入信息登录时,就会产生一个新的session了。

方案二:更新上一次的session信息,保证再Tab页打开已登录的系统session能更新共享使用。

if (request instanceof HttpServletRequest) {
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            if (httpRequest.getSession() != null) {
                HttpSession session = httpRequest.getSession();
                HashMap<String, Object> old = new HashMap<String, Object>();
                Enumeration<String> keys = session.getAttributeNames();
                while (keys.hasMoreElements()) {
                    String key = (String) keys.nextElement();
                    old.put(key, session.getAttribute(key));
                    session.removeAttribute(key);
                }

                if (!httpRequest.getSession().isNew()){
                    session.invalidate();
                    session = httpRequest.getSession(true);
                }

                for (Iterator<Entry<String, Object>> it = old.entrySet().iterator(); it.hasNext();) {
                    Map.Entry<String, Object> entry = (Map.Entry<String, Object>) it.next();
                    session.setAttribute((String) entry.getKey(), entry.getValue());
                }
            }
        }
y562363753
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
会话标识更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
appscan如何进行web端安全性测试_web端常见安全漏洞测试结果分析-- appscan
weixin_35323111的博客
12-30 1093
基于appscan测试结果分析:一、XSS跨站脚本指的是攻击者往Web页面里插入恶意html代码,通常是JavaScript编写的恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。是最常见的Web应用程序安全漏洞之一JavaScript可以用来获取用户的cookie、改变网页内容、URL调转,存在XSS漏洞的网站,可以盗取用户cookie、黑掉页面...
[AppScan深入浅出]修复漏洞:会话标识更新
xiaomin1991222的专栏
11-27 273
会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”漏洞。   解决: 在登录页面上加上一段代码: request.getSession().invalidate();//清...
AppScan深入浅出】修复漏洞:会话标识更新(中危)
编程的世界
08-31 3819
关于“会话标识更新”,其实我觉得应该是颇有争议的,为何登录后不更新会话标识就会存在危险,是不是担心读取到旧会话中存在Session的取值呢?这个恕我不懂。   关于漏洞的产生 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后
会话标识更新 java_Appscan漏洞之会话标识更新
weixin_42138703的博客
02-22 762
本次针对Appscan漏洞会话标识更新进行总结,如下:1. 会话标识更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cooki...
AppScan安全扫描:会话标识更新
爱兰河少
01-30 1322
    会话标识更新:在登录页面中存在一个动态的验证码,这个验证码每次获取后会存放于客户端的session中,而若登录失败后会再次跳回到登录页面,而在AppScan安全扫描时就会误认为因该是新的请求会话,而新的会话则需要用新的Session(sessionId不一样即可),而我们很多时候登录失败后的错误提示信息会封装到session中,这样会方便前台直接读取,因此就会导致会话标识更新安全问...
会话标识更新 java_IBM Security Appscan漏洞--会话标识更新
weixin_27153203的博客
02-22 207
可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使***能够以该用户身份查看或变更用户记录以及执行事务 “会话标识更新”是中危漏洞,AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(JSP)或者 ASP.NET_SessionId(ASP)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识更新”...
appscan安全漏洞修复
12-21
2. 会话标识更新会话管理是Web应用安全性的重要组成部分。若会话标识在用户登录、权限更改或其他敏感操作后及时更新,可能导致会话劫持。解决办法是在关键操作后强制生成新的会话ID,确保即使会话被拦截,攻击...
web安全扫描问题疑问 AppScan
03-18
5. **会话标识更新.jpg** - 图片可能展示了在会话管理中一个常见的安全问题,即会话ID没有及时更新或回收。这可能导致会话固定攻击,攻击者可以利用更新会话ID来冒充合法用户。为了防止这种情况,开发者需要...
Web安全术语——摘自IBM AppScan的帮助文档
x7rslt的博客
06-07 1229
使用AppScan安全扫描时,翻看帮助(F1)找到的这个术语表。文档中提到很多Web相关的名词,有助于认识大多数的安全类英文词组,了解最基本的意思。(建议多阅读官方文档,经常会有意外收获)本术语表说明在 AppScan® Standard 用户界面和文档中使用的术语和首字母缩略词。〔A〕安全风险 (security risk)威胁的潜在成功机会和可能继而发生的损害。安全审计 (security a...
安全测试Bug解决方案
11-23
问题描述:会话标识更新可能会导致敏感信息泄露。 解决方案: * 在用户登录时始终使用新的会话标识,以防止敏感信息泄露。 * 在登录页面上加上一段代码:request.getSession().invalidate();//清空 session。 ...
会话标示更新解决方案
weixin_34259559的博客
05-07 1006
JSF项目,用appscan检测,报“会话标示更新”漏洞,漏洞详情:用户在登陆应用程序前后,其会话标识一样,进行更新,从而可以窃取或操作客户会话和Cookie,进行查看、变更用户信息及执行事务等操作。 推理: 测试结果似乎指示存在脆弱性,因为“原始请求”和“响应”中的会话标识相同。这些标志应该已在响应中更新。 JSF页面在打开时,就会生成一个sessionid,登录后的sessionid发...
安全测试 关于会话标识更新的解决方法
charsli的专栏
10-30 965
最近本人搭了一个框架,用IBM Rational AppScan扫描出其中的一个安全漏洞,描述如下:[1 / 2] 会话标识更新 严重性: 高 测试类型: 应用程序 有漏洞的URL: *** 修复任务: 不要接受外部创建的会话标识. [b]会话标识更新[/b] 应用程序 WASC 威胁分类 授权类型:会话定置 http://www.webappsec.org/projects...
AppScan 会话标识更新 处理方案
八音初穗的博客
03-21 1143
之前是采用了百度到的 session.Abandon的方式但是客户网络环境的问题 会在内网情况下 莫名其妙导致session丢失 取消这个标记后 ,会导致通不过机器扫描,然后采用了https://bbs.csdn.net/topics/390072229此问题的happylm88的回复 response.Cookies["ASP.NET_SessionId"].Expires=Syst...
Appscan---会话标识更新
KerryRuan的专栏
04-05 2553
会话标识更新  严重性: 高  类型: 应用程序级别测试  WASC 威胁分类: 授权类型:会话定置  CVE 引用: 不适用  安全风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 ---------------------------------------------------------
记一次项目系统安测高危bug的修复历程
weixin_46492872的博客
09-16 980
项目场景: 项目架构:spring+struts2+hibernate 之所以记录为历程不是过程,是因为是第一次修复专业的安测人员检测出来的漏洞,加上前期对于此类漏洞和strust2架构不够深入了解,修复的过程较长,其实做后回想过来,这类问题还是蛮简单的。(慢慢积累吧) 安测人员使用测试工具: Appscan 问题描述: 高危漏洞主要分为两类 测试过程都是从页面的某一个参数从某个位置进行控制(在参数中携带脚本敏感字符)。 推理: 测试结果似乎指示存在脆弱性,因为 Appscan 在响应中成功嵌入了脚本,在
浅谈“会话标识更新漏洞”
→_→
07-25 1553
一:漏洞名称: 会话操纵、会话标识更新 描述: 会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 检测条件: 已知Web网站地址 Web业务运行正常 Web业务存在登陆认证模块 已知正确的
除去虚拟目录中的旧版本文件(临时文件下载、归档文件下载)
blue_skye的专栏
10-10 1572
临时文件下载 严重性:低 CVSS 分数: 5.0 URL: 实体: code (Page) 风险: 可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息 原因: 在生产环境中留下临时文件 固定值: 除去虚拟目录中的旧版本文件 推理: 测试尝试检索源代码文件。响应产生错误且包含非 HTML 内容,表示源代码检索已成功。 修复建议: 该任务修复的问题类型:归档文件下载、临时文件下载 常规: 归档文件下载 请勿将文件的归档版本存放在...
15 【登录鉴权】
最新发布
DSelegent的博客
12-01 954
15 【登录鉴权】
IBM Rational AppScan 安全检测指南
1. 自动化扫描:能自动检测Web应用程序中的常见漏洞,如输入验证错误、不安全会话管理等。 2. 深度分析:通过模拟黑客攻击,检测深层次的逻辑漏洞。 3. 定制规则:用户可以根据自己的需求创建和编辑扫描规则,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值