WEB项目SESSIONID固定漏洞

最新推荐文章于 2025-07-10 11:41:08 发布
最新推荐文章于 2025-07-10 11:41:08 发布
阅读量6.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: WebSecurity 文章标签: WebSecurity session web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pxg943055021/article/details/55188857
本文介绍了SESSIONID固定漏洞的攻击原理及其防范措施。通过重置SessionID和设置httpOnly属性来增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题场景


访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId


在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞


攻击步骤


第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESSIONID,使其用该JESSIONID登录,获取用户登录后的JESSIONID。(这里作为示范,直接从浏览器中获取)
第二步,等被攻击用户登录,是JESSIONID成为已登录状态。
第三步,伪造请求,访问登录后的资源。
在用户登录使该JSESSIONID称为已登录的ID后,攻击者就可以利用这个ID伪造请求访问登录后的资源。


漏洞分析处理

出现该问题的主要原因是登录控制使用的固定的SessionID,登录前与登录后的SessionID是一样的。这样就使得攻击者可以简单的伪造一个SessionID诱使用户使用该SessionID登录,即可获取登录权限。如果配合XSS漏洞,则更加可以轻易获取登录权限。避免这一漏洞的方法主要有两种:
1.在登录后重置sessionID
在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。

request.getSession().invalidate();
这样登录前与登录后的sessionID就不会相同

2.设置httpOnly属性
httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
主流的大多数浏览器已经支持此属性。httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat,>6.0.19或者>5.5.28的版本才支持httpOnly属性,具体方法是在conf/context.xml添加httpOnly属性设置

<Context useHttpOnly="true">
...
</Context>

另一种设置httpOnly的方式是使用Tomcat的servlet扩展直接写header

response.setHeader( "Set-Cookie", "name=value; HttpOnly");

以上两种方法就可以避免SESSIONID固定漏洞被利用

漏洞挖掘】——134、 逻辑漏洞Session会话安全
Fly_鹏程万里
07-26 725
Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时应将客户端Session认证属性标识清空,如果未能清空客户端Session标识,在下次登录系统时系统会重复利用该Session标识进行认证会话,攻击者可利用该漏洞生成固定Session会话并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。
WEB攻防-JAVAWEB项目常见漏洞
weixin_45534587的博客
05-31 1573
1.JavaWeb常见安全及代码逻辑2.目录遍历&身份验证&逻辑&JWT3.访问控制&安全组件&越权&三方组件本篇主要了解以上问题在javaweb中的呈现,第一个重点理解URL与javaweb代码框架的对应方式,java在没有代码的情况下是很难渗透的,下面的内容也是针对白盒的第二个重点是JWT身份验证/攻击。
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1429
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
JavaWeb Session 详解
最新发布
echo_123qq的博客
07-10 1041
Session(会话)是服务器端用来跟踪用户状态的一种机制,它允许服务器在多个HTTP请求之间识别同一个客户端。与Cookie不同,Session数据存储在服务器端,客户端只保存一个Session ID。
Allaire JRun “JSessionID” 信息泄露漏洞
ncnynl的专栏
09-01 1456
Allaire JRun “JSessionID” 信息泄露漏洞 发布日期: 2001-12-6受影响的系统:  Allaire JRun 3.0   - IBM AIX 4.2   - IBM AIX 4.3   - Microsoft Windows 95   - Microsoft Windows 98   - Microsoft Windows 2000   -
漏洞:会话固定攻击(session fixation attack)
yggcwhat
01-31 2500
什么是会话固定攻击? 会话固定攻击(sessionfixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返回一个会话ID给他; 3、攻击者Attacker用该会话ID构造一个该网站链接发给受害者Victim; 4-5、受害者Victim点击该链接,携带攻击者的会话ID和用户名密码.
小记:web安全测试之——固定session漏洞
weixin_30565199的博客
05-11 552
今天因为项目背景需要,需要检测web接口是否一些安全隐患。 无奈于从未掌握有系统的渗透性知识,只好根据个人对网络协议和 web 的理解,做一些探索,最终发现了一个session fixation attacks漏洞。 场景回顾: 使用抓包工具监听业务的登录登出接口,发现登录后的 JSESSIONID 为 A,登出后的 JSESSIONID 仍然为A; 比如 header 里面部分是这样的 Cook...
PHP Session_Regenerate_ID函数双释放内存破坏漏洞
10-28
在PHP中,`session_regenerate_id()`函数是用于生成一个新的会话ID并替换当前的会话ID,以增加安全性,防止会话固定攻击。然而,在某些特定版本的PHP中,这个函数存在一个严重的问题——双释放内存破坏漏洞。 该...
会话固定漏洞小结——概念、原理、检测及防御
7Riven's blog
12-29 6962
会话固定 概念 会话固定Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。 原理 访问网站时,网站会...
web漏洞--会话管理漏洞
xsh951103的博客
01-07 3190
目录 1.会话劫持 2.会话固定 1.会话劫持 1.概念 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 2.攻击步骤 目标用户需要先登录站点 登录成功后,该用户会得到站点提供的一个会话标识SessionID 攻击者通过某种攻击手段捕获Session ID 攻击者通过捕获到的Se..
会话固定漏洞
weixin_50464560的博客
07-03 387
整个利用链构造下来是比较有趣的,首发于某个安全圈子,主要是想分享一下思路,发过来先知是为了看看有没有什么建议,讨论。 此次审的是yxcms 1.4.6版本,应该是最后一个版本了吧? 0x01 从任意文件删除漏洞说起 yxcms经过修修补补,前台的一些洞都挖得差不多了,一番挖掘没什么效果,转到后台去。后台的防护是比较松懈的。 找到了个任意文件删除漏洞。 /protected/apps/admin/controller/filesController.php public function del()
5、会话固定漏洞
feiwujiushiwo的博客
02-05 1088
会话固定漏洞是指用户在首次登录之后,应用程序未正确的更新或删除Session ID(会话标识符),导致后续的登录请求仍然使用初始的会话ID。这时攻击者就有可能通过捕获并使用这些持久会话ID来模拟已登录的用户,执行恶意操作。Web通用漏洞
会话固定与劫持漏洞
西电卢本伟的博客
04-08 3674
会话;session、cookie、token;会话固定与劫持
Java SessionID漏洞分析处理
岁月沉淀,积累财富
11-13 1919
一般我们在实际项目当中经常出现黑客,在js方式获取我们在浏览器当中存储的cookie资料,绕开登录并登录主机进行资料的访问;一帮有以下两种方式,防止此类事情发生: 1.在登录后重置sessionID 在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。代码如下 protected void doPos
jsessionid攻击模式
y6s6y6y的博客
07-10 815
request中获取别人jsessionid【通过钓鱼网站等方式进行获取,然后就获取到了其他人在改系统中的权限】,然后禁用浏览器中的cookie就能获取其登录信息【在浏从览器的Internet选项中,找到隐私,找到高级,然后选中阻止coolie即可】...
修复shiro固定会话攻击漏洞 sessionId
康康的博客
11-05 762
@PostMapping("/login") @ResponseBody public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { System.out.println("username = " + username); UsernamePasswordToken token = new UsernamePasswordToken(user.
Web安全-会话ID漏洞
道阻且长,行则将至
07-07 4127
概述 以下摘自《白帽子讲 web 安全》 密码与证书等认证手段,一般仅仅用于登录(Login)的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时,都再使用密码认证一次。因此,当认证完成后,就需要替换一个对用户透明的凭证。这个凭证就是SessionID。 当用户登陆完成后,在服务器端就会创建一个新的会话(Session),会话中会保存用户的状态和相关信息。服务器端维护所有在线用户的...
jsessionid和jwt_jsessionid
weixin_42123456的博客
01-13 837
ntellij idea插件2020-12-25 17:03:27第一次从Eclipse转到idea时,那时候确实挺难受的,各种不是习惯,各种抵触,后来设置一些eclipse的使用习惯,发现越来越好用了,作为一名开发,工欲善其事必先利其器,hahha------ 取代POSTMAN的利器1、Tools -> HTTP Client -> Test RESTFUL Web Service...
web taomcat漏洞
03-12
<think>好的,用户想查找关于Tomcat服务器或Web应用的安全漏洞信息。首先,我需要回忆Tomcat常见的漏洞类型,比如配置错误、默认设置的问题,或者历史漏洞案例。记得之前有看到过CVE相关的漏洞,比如CVE-2017-12615,这是一个远程代码执行漏洞,可能和PUT方法有关。还有管理界面弱口令的问题,如果默认凭证未修改,可能导致未授权访问。 另外,用户提到了Web应用的安全漏洞,可能需要考虑应用层面的问题,比如XSS、SQL注入,但这些更多与应用代码相关,而Tomcat作为服务器,可能涉及部署配置的问题。比如目录遍历漏洞,如果配置不当,可能允许攻击者访问敏感文件。 需要确保引用的资料符合用户提供的参考内容。用户给出的引用[1]提到了Tomcat的配置,包括作为独立服务器或与Apache httpd配合使用,还有配置realms、roles等,这可能涉及安全配置的最佳实践。引用[2]关于点击劫持,可能和Web应用的安全头设置有关,比如X-Frame-Options,这需要Tomcat或应用的配置来防御。引用[3]提到D-Security的加密技术,虽然主要关于文件加密,但可能间接相关,比如Tomcat处理敏感文件时的加密措施。 接下来要组织回答的结构,先列出常见漏洞类型,每个类型给出例子和修复建议。然后生成相关问题,可能需要涵盖漏洞分析、防护措施、配置优化等方向。要确保使用正确的中文表达,并正确应用LaTeX格式,虽然用户的问题中没有数学内容,但按照系统指令,如果有变量或技术术语需要用行内格式,但这里可能不太需要,所以可能用代码块或加粗更合适。 需要注意用户引用的资料是否准确匹配,比如引用[1]提到配置Tomcat,可以引用到配置不当导致漏洞的部分。引用[2]提到点击劫击,可以联系到安全头的配置。引用[3]的加密可能和Tomcat的SSL配置或文件加密相关,但需要合理关联。 最后,生成的相关问题要围绕Tomcat安全漏洞、防护措施、配置最佳实践等展开,帮助用户进一步探索。</think>### Tomcat Web应用安全漏洞分析 Tomcat作为广泛使用的Java Web服务器和Servlet容器,其安全性直接影响Web应用的整体防护。以下是常见安全漏洞及解决方案: 1. **配置不当导致信息泄露** - **问题**:默认开启的`/manager`和`host-manager`管理界面若未配置访问控制,可能暴露服务器信息。 - **修复**:在`conf/tomcat-users.xml`中禁用默认账户,使用强密码并限制IP访问: ```xml <role rolename="manager-gui"/> <user username="admin" password="加密后的密码" roles="manager-gui"/> ``` 同时在`server.xml`中配置`RemoteAddrValve`过滤器限制访问IP[^1]。 2. **PUT方法任意文件上传(CVE-2017-12615)** - **问题**:Tomcat 7.x版本默认允许PUT方法,攻击者可上传恶意JSP文件。 - **修复**:在`web.xml`中禁用PUT方法: ```xml <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> </web-resource-collection> <auth-constraint/> </security-constraint> ``` 或升级到已修复版本[^3]。 3. **会话固定攻击(Session Fixation)** - **问题**:Tomcat默认会话ID生成算法可能被预测。 - **修复**:在`context.xml`中启用强会话ID: ```xml <Manager className="org.apache.catalina.session.PersistentManager" secureRandomAlgorithm="SHA1PRNG" secureRandomClass="java.security.SecureRandom"/> ``` 4. **点击劫持风险(Clickjacking)** - **问题**:未设置`X-Frame-Options`响应头可能导致界面被嵌入恶意框架[^2]。 - **修复**:在`web.xml`添加过滤器: ```xml <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> </filter> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

扶朕去网吧

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值