Java SessionID漏洞分析处理

最新推荐文章于 2024-12-02 09:28:38 发布
最新推荐文章于 2024-12-02 09:28:38 发布
阅读量1.8k 收藏
点赞数
分类专栏: 编程语言 架构设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sevenkj/article/details/53152807
版权
本文介绍了两种有效防止黑客通过JavaScript获取浏览器中存储的Cookie资料并进行非法访问的方法:一是登录后重置sessionID使之前的匿名session失效;二是设置httpOnly属性来限制cookie只能通过HTTP协议访问,从而减少跨站脚本攻击的风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   一般我们在实际项目当中经常出现黑客,在js方式获取我们在浏览器当中存储的cookie资料,绕开登录并登录主机进行资料的访问;一帮有以下两种方式,防止此类事情发生:

1.在登录后重置sessionID
在登录验证成功后,通过重置session,是之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。代码如下

protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
	    String username=request.getParameter("username");
	    String password=request.getParameter("password");
	    if("admin".equals(username) && "pass".equals(password)){
                //是之前的匿名session失效
	        request.getSession().invalidate();
	        request.getSession().setAttribute("login", true);
	        response.sendRedirect("hello.jsp");
	    }else{
	        response.sendRedirect("login.jsp");
	    }
	}

2.设置httpOnly属性
httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, 解决用户的cookie可能被盗用的问题,减少跨站脚本攻击
主流的大多数浏览器已经支持此属性。httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat,>6.0.19或者>5.5.28的版本才支持httpOnly属性,具体方法是在conf/context.xml添加httpOnly属性设置

<Context useHttpOnly="true">
...
</Context>

另一种设置httpOnly的方式是使用Tomcat的servlet扩展直接写header

response.setHeader( "Set-Cookie", "name=value; HttpOnly");

漏洞挖掘】——134、 逻辑漏洞之Session会话安全
Fly_鹏程万里
07-26 648
Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时应将客户端Session认证属性标识清空,如果未能清空客户端Session标识,在下次登录系统时系统会重复利用该Session标识进行认证会话,攻击者可利用该漏洞生成固定Session会话并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。
Java Web 应用的安全攻防之 CSRF 漏洞分析
AI天才研究院
10-09 920
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞。CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
Java后端获取sessionId不一致的问题
盛难晨
03-26 3836
出现这个问题,主要的原因就是前端没有将cookie带给后端,或者后端的cookie没有带给前端。所以把这个解决了就基本解决了问题。 后端配置 在后端配置了一个过滤器,也是解决跨域的问题: <!-- 跨域设置 --> <filter> <filter-name>crossFilter</filter-name> ...
java 获取 sessionid
weixin_40587337的博客
08-04 304
Java 获取 Session ID 的详细解析 在现代 Web 开发中,会话管理是一个非常重要的组成部分。通过会话管理,服务端可以在多个请求之间维持用户的状态。Java 提供了多种方式来处理会话,其中最常用的就是使用 HttpSession 来管理用户的会话。本文将详细讲解如何在 Java Web 应用程序中获取 Ses...
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6687
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
java会话固定漏洞_漏洞:会话固定攻击(session fixation attack)
weixin_36036925的博客
02-26 775
什么是会话固定攻击?会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。看下面Session Fixation攻击的一个简单例子:整个攻击流程是:1、攻击者Attacker能正常访问该应用网站;2、应用网站服务器返回一个会话ID给他;3、...
sessionid java_java如何获取sessionid
weixin_42507868的博客
02-12 6251
展开全部StringsessionId=request.getSession().getId();首先要获32313133353236313431303231363533e59b9ee7ad9431333337396230得request对象,然后调用getSession()方法。Session直接翻译成中文比较困难,一般都译成时域。在计算机专业术语中,Session是指一个终端用户与交互系统进...
修复shiro固定会话攻击漏洞 sessionId
康康的博客
11-05 737
@PostMapping("/login") @ResponseBody public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { System.out.println("username = " + username); UsernamePasswordToken token = new UsernamePasswordToken(user.
SessionID存在Cookie被劫持了怎么办?
最新发布
一个疯狂的coder
12-02 698
前两天面试一家10k-14k的厂被面试官拷打了,面试官看了我的博客文章:如何使用Redis实现分布式Session存储用户信息,他问我你后端生成的SessionID存在Cookie里返回给前端,前端携带Cookie访问后端实现分布式或单点登陆,那假如Cookie被劫持了,别人请求头里携带了这个Cookie,不是一样能登陆吗?
java栈溢出漏洞cve,TP-Link WR841N 栈溢出漏洞(CVE-2020-8423)分析
weixin_42132352的博客
03-15 761
简介前段时间 TP-LINK TL-WR841N 设备爆出了一个认证后的栈溢出漏洞,借机复现了一下这个栈溢出漏洞,其中有一些在漏洞利用上的小技巧在此和大家分享一下。漏洞信息如下:漏洞编号:CVE-2020-8423漏洞设备:TP-LINK TL-WR841N V10漏洞效果:登陆过路由器web服务admin账户之后可以获取到路由器的shell。漏洞描述:httpd获取参数时的栈溢出导致了覆盖返回地...
java session id 生成_sessionid如何产生?由谁产生?保存在哪里?
weixin_42513928的博客
02-13 1632
面试问道这个我居然不知道怎么回答,当然也是因为我确实没有研究过。下面就是百度了一篇文章后简单回答这个问题。sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。tomcat生成的sessionid叫做jsessionid。session在访问tomcat服务器HttpServletRequest的getSession(tr...
java sessionid不一致_Vue中跨域,sessionId不一致
weixin_35364187的博客
02-23 244
前后端分离,前端使用vue-admin-template后端配置文件CommonIntercepter.javaimport javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import org.springframework.stereotype.Component;impor...
解决:JavaWeb跨域下获取的SESSIONID不一致问题
qq_45593068的博客
10-24 805
解决:JavaWeb跨域下获取的SESSIONID不一致问题 https://blog.youkuaiyun.com/qq_33488642/article/details/82657836转载大佬博客 配置头部信息 // 开放cros访问 HttpServletResponse response = (HttpServletResponse) resp; HttpServletRequest reqest = (HttpServletRequest) req; response.
java 改变sessionid_java web登录前后改变sessionId标示的安全性问题解决
weixin_33820059的博客
02-27 2156
在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话的sessionId,这样这个未授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。一、在解决该问题之前,需要了解session会话的创建,session的创建方式主要有以下3种:/...
Java跨域访问sessionid不一致问题处理
石头的博客
05-04 3588
导语:直接上处理方法,具体原理请自行查阅资料.(共用两种方法解决) 常见情景:设置进session中的值,在第二次请求时获取出来的是:null 第一种方法:针对请求较少的需求: 一.服务器段: 设置可以支持跨域请求: response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); ...
前后端分离不存在会话,sessionid不一致问题
qq_56921846的博客
08-30 2061
在上面的代码中,我们使用fetch函数向后端发送了一个GET请求,并设置了请求头中的Content-Type为application/json;后端代码:在上面的拦截器中,我们设置了Access-Control-Allow-Credentials等跨域请求头。在上面的配置类中,我们创建了一个CorsInterceptor对象,并将其注册到InterceptorRegistry中,从而实现了使用拦截器解决跨域问题。
多级上下文导致请求sessionid不一致的问题
km233的博客
08-17 424
服务器向外网统一映射了一个固定的上下文,导致程序在部署之后,上下文与测试环境不一致,变成了双层的上下文。开发:/context ,生产:/server/context。微信H5网页在部署到正式环境之后,每次请求的sessionid都不一致,在测试环境sessionid无影响。
一招解决Servlet作为后端出现的跨域以及SessionID不一致问题
沉迷写代码的程序猿的博客
04-30 4004
文章目录一招解决Servlet作为后端出现的跨域以及SessionID不一致问题一、引言二、Servlet解决跨域三、解决跨域sessionID不一致的问题四、总结 一招解决Servlet作为后端出现的跨域以及SessionID不一致问题 一、引言 在最近我用Servlet作为后端,然后Vue作为前端,使用前后端分离的方式实现了一个小小的管理系统。 既然是前后端分离的项目,那自然少不了跨域问题,但是之前都是用springboot+vue技术,而且跨域问题也是通过vue的代理方式来解决的 然后这次我就想试一试
javasessionid_Java根据sessionId获取Session对象
weixin_28725407的博客
02-20 209
1. 建立一个自己的SessionContext:程序代码:package cn.org.jshuwei.session.core;import javax.servlet.http.HttpSession;import java.util.HashMap;public class MySessionContext {private static MySessionContext instance...
Spring Security猎犬:Java安全漏洞检测工具解析
- **会话固定攻击(Session Fixation Attack)**: 攻击者试图让合法用户使用攻击者指定的会话ID。 #### 5. BlockHound的介绍 BlockHound是一个用于检测Java应用中阻塞调用的工具,能够帮助开发者发现并修复潜在的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值