博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Tomcat的SessionID引起的Session Fixation和Session Hijacking问题
阅读量:6192 次
发布时间:2019-06-21

本文共 1777 字,大约阅读时间需要 5 分钟。

 

上一篇说到《》,今天说说SessionID带来的漏洞攻击问题。首先,什么是Session Fixation攻击和Session Hijacking攻击问题? 说来话长,非常具体的解释查看我这个pdf文件:《》。为什么会注意到这个问题?其实原来也知道session劫持的问题,但没有注意,这几天用IBM Ration AppScan扫描了web漏洞,发现一个严重的Session Fixation漏洞:"会话标识未更新。针对这个问题的解决方案: 始终生成新的会话,供用户成功认证时登录。防止用户操纵会话标识。issue a new JSESSIONID cookie after login。请勿接受用户浏览器登录时所提供的会话标识。" 原来,用户访问我们的登录页面,Tomcat就会生成一个SessionID,加密后放到用户浏览器Cookie中。当用户登录后,这个SessionID并没有改变。更加糟糕的是,每次在同一台机器上,都使用同一个SessionID。这就造成了严重的Session Fixation和Session Hijacking漏洞。其实,如果Tomcat启用了SSL,Tomcat的默认行为是:当用户通过登录后,生成一个新的SessionID。如果没有配置SSL,手动让Tomcat生成新的SessionID的方法是:

/*
 * Authenticate, first invalidate the previous Tomcat sessionID immediately
 * This step is only required when NO SSL of Tomcat is applied!
 */
if (session!=null && !session.isNew()) {
    session.
invalidate();
}
/*
 * Create the sessionID 
 * Actually if deploy this web site in Tomcat by SSL, by default a new SessionID will be generated 
 * 
 * */ 
HttpSession session = getRequest().getSession(true);

在后台登陆逻辑中,登陆前生成新的SessionID。

另外可以采用下面的CheckList:

 

  • 查看sessionID生成策略,确保不可被猜测(Tomcat没问题)
  • 查看sessionID保存策略,确保不通过URL进行传递(通过URL传递的SessionID禁不起安全测试)
  • 每次登录更换sessionID(已解决,事实上Tomcat在SSL下默认也是这样)
  • Session Cookie 设置HttpOnly(Tomcat没问题)
  • Session Cookie 设置,特别是用户IP, UserAgent...等更改强制session过期需要重新登录(备用,防止Session保持攻击)

Session Fixation攻击

举一个形象的例子,假设A有一辆汽车,A把汽车卖给了B,但是A没有把钥匙都交给B,自己还留了一把。这时候如果B没有换锁的话,A还是可以打开B的车的。在网站上,具体的攻击过程是:攻击者X首先获取一个未经认证的SessionID,然后把这个SessionID交给用户Y去认证,Y完成认证后,服务器并未更新此SessionID的值(注意是未改变SessionID,而不是Session),所以X可以直接凭借此SessionID登录进Y的账户。X怎么拿到SessionID的?常用的方法有Xss攻击(如果设置HttpOnly此方法无效)、网络Sniff、本地木马窃取、网络嗅探等。解决Session Fixation攻击的办法就是在登录完成后,重新生成不可以猜测的SessionID。

ASP.NET的解决Session Fixation和Session Hijacking的问题

ASP.NET的解决Session Fixation和Session Hijacking的问题可以看和帖子。

http://www.cnblogs.com/Mainz/archive/2012/11/09/2762456.html

 

你可能感兴趣的文章
ceph introduce
查看>>
LeetCode 104 Maximum Depth of Binary Tree(二叉树的最大深度)
查看>>
webtail——websocket
查看>>
大半年来做的计算这点事
查看>>
使用MAT对java内存分析
查看>>
AngularJS们的SEO之殇
查看>>
c-jdbc, sequoia, continuent, SymmetricDS
查看>>
TreeSet的两种排序方法
查看>>
Apache Geode/GemFire功能特性简介(1)
查看>>
Apache Geode/GemFire入门(2)-基本概念和模块
查看>>
jQuery-我们缓存的数据去哪了
查看>>
Spring 系列(四):我们来聊聊<context:component-scan/>
查看>>
重塑你的CSS世界观——浮动魔鬼float
查看>>
Flutter学习篇(二)—— Drawer和水纹按压效果
查看>>
Flutter 动画入门
查看>>
设计模式系列之「策略模式」
查看>>
如何正确欣赏自己 | 摸鱼系列
查看>>
如何买到阿里云免费SSL证书(0元SSL证书)
查看>>
0代码隐藏GroupedTableView上边多余的间隔
查看>>
Swift TableView 的多选复选实现
查看>>