sessionID防伪造防修改-防止试错

最新推荐文章于 2023-06-16 22:55:25 发布
最新推荐文章于 2023-06-16 22:55:25 发布
阅读量688 收藏
点赞数

主要防止非法用户修改cookie信息,以及cookie的超时时间 
传统cookie存储,Cookie(name, value),value很容易就被篡改。 
防修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime) 
signToken :签名密钥 由md5(value+saveTime+maxTime+”自定义密钥“)生成 
saveTime:cookie创建时间 
maxTime:cookie超时时间

设置Cookie

    public static void put(HttpServletResponse response, String key, String value, int maxTime) {
        String pwdKey = "white_yu"; //自定义密钥
        String saveTime = System.currentTimeMillis() + "";
        String signToken = md5(pwdKey, saveTime, maxTime + "", value);

        String cookieValue = signToken + "&&" + saveTime + "&&" + maxTime
                + "&&" + value;
        Cookie cookie = new Cookie(key,cookieValue);
        cookie.setMaxAge(maxTime);
        response.addCookie(cookie);

    }
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12

获取Cookie

    public static String getCookie(String cookieValue) {
        String pwdKey = "white_yu"; //自定义密钥
        if (StringUtils.isNotBlank(cookieValue)) {
            String cookieStrings[] = cookieValue.split("&&");
            if (null != cookieStrings && 4 == cookieStrings.length) {
                String signToken = cookieStrings[0];
                String saveTime = cookieStrings[1];
                String maxTime = cookieStrings[2];
                String value = cookieStrings[3];

                String sign = md5(pwdKey, saveTime, maxTime, value);

                // 保证 cookie 不被人为修改
                if (sign.equals(signToken)) {
                    long stime = Long.parseLong(saveTime);
                    long maxtime = Long.parseLong(maxTime) * 1000;
                    // 查看是否过时
                    if ((stime + maxtime) - System.currentTimeMillis() > 0) {
                        return value;
                    }
                }
            }
        }
        return null;

    }参考:http://www.oschina.net/question/862431_106983
Joy666888
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
第 14 章 御会话伪造
weixin_34210740的博客
07-13 131
第14章御会话伪造 14.1.***场景 session fixation会话伪造***是一个蛮婉转的过程。 比如,当我要是使用session fixation***你的时候,首先访问这个网站,网站会创建一个会话,这时我可以把附有jsessionid的url发送给你。http://unsafe/index.jsp;jsessio...
伪造session
a843538946的专栏
12-19 4467
例如A用户登陆了一个网站http://www.****.net/public/index/user/index_logined 他的session id再cookie文件里保存   PHPSESSID=8ij3rq9ts56rb51d3859a3jeq6   然后B用户通过csrf截获了PHPSESSID=8ij3rq9ts56rb51d3859a3jeq6这个cookie 然后在浏览器...
flask session伪造
weixin_44216796的博客
12-03 2198
前言: 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 一开始看这个概念可能有些懵,看了很多大师傅们的博客后,慢慢明白这个概念的道理。 在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据
解决asp.net跨站点请求伪造的简单手段以及遇到的问题
search1985的专栏
07-04 1257
借鉴:http://blog.csdn.net/hnwanghb/article/details/7920674 在aspx页面的 override protected void OnInit(EventArgs e)事件里,添加一句代码:Page.ViewStateUserKey = Session.SessionID;   
redis-session-manager-redis-session-manager-2.2.0.zip
最新发布
06-02
Redis Session Manager是一款基于Redis数据库实现的会话管理工具,它主要用在Web应用程序中,用于存储用户的会话信息。在Web应用中,session是服务器端用来跟踪用户状态的重要机制,通常将用户信息如登录状态、...
redis-session-manager-redis-session-manager-2.0.8.zip
06-02
Redis Session Manager是一款基于Redis数据库实现的会话管理工具,它主要用在Web应用程序中,用于存储和管理用户的session数据。Redis作为一个高性能的键值数据库,因其内存存储、高并发读写性能,常被用于session...
redis-session-manager-redis-session-manager-2.0.2.zip
06-02
Redis Session Manager是一款基于Redis数据库实现的会话管理工具,主要用于在分布式系统中高效、安全地存储和管理Web应用的用户会话数据。标题中的"redis-session-manager-redis-session-manager-2.0.2.zip"表明这是...
redis-session-manager-redis-session-manager-2.0.1.zip
06-02
在Web应用中,session是用于跟踪用户状态的重要机制,当用户登录后,服务器会为该用户创建一个session,将用户的登录信息、购物车等数据存储在服务器端,而不是在客户端的cookie中,这样可以提高安全性并防止数据...
如何防止session伪造攻击
enchanterblue的专栏
05-02 1641
如何防止Session伪造攻击  Session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击.任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSION伪造攻击...
session怎么辨别是不是伪造的cookie
weixin_65666222的博客
06-16 342
隐藏Session ID:在Cookie中存储的Session ID应该是一个随机的字符串或数字,外部用户无法猜测出Session ID具体的生成方式,避免攻击者伪造Session ID。设置过期时间:Session ID应该设置一个过期时间,在过期之后,下一次请求会生成一个新的Session ID,从而保证用户信息的安全性。使用加密算法:对Session ID进行加密处理,并设置一个加密密钥,使攻击者无法伪造Session ID,从而保护用户信息的安全。
关于web项目sessionID欺骗的问题
a563501734的博客
11-05 7967
我在做用户登陆时大费周章,又是rsa又是md5的,忽然想起DNS欺骗的问题,如果用户被dns劫持,不管我用什么样的方法,用户如果在被劫持的页面上输入密码都毫无安全可言,并且https我们是不可能用的,瞎将就吧,我只能寄希望于用户装了某管家或某卫士。 但是后面的问题更严重,大家都知道http依赖cookie保持会话状态,我们大费周章地用各种加密方式来保护用户密码,最后却转化成为十几二十个明文字符来...
如何防止Session伪造攻击
大肚牛的博客--magento, SEO技术交流
12-12 2482
什么是SESSION伪造攻击: Session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击. 任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSI
java防止session伪造攻击_session深入探讨
weixin_29547681的博客
02-17 851
简介session(会话),其实是一个容易让人误解的词。它总跟web系统的会话挂钩,利用session,javaweb项目实现了登录状态的控制。坊间流传,关闭浏览器,就是关闭了web系统的会话。其实浏览器对于会话有自己的定义,而web系统对于会话也有自己的定义。在tomcat中,session通常是指实现了HttpSession接口的实现类。并且不存在关闭浏览器就会关闭tomcat的HttpSes...
java预sessionId替换导致垂直越权问题
05-27
对于Java应用来说,防止Session ID替换导致的垂直越权问题,可以采取以下措施: 1. 使用随机Session ID:使用类似UUID的随机字符串生成算法生成Session ID,可以有效防止Session ID被猜测或者暴力破解。 2. 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值