中危漏洞-会话标识固定修复

最新推荐文章于 2024-05-27 08:46:57 发布
最新推荐文章于 2024-05-27 08:46:57 发布
阅读量789 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 权限管理安全框架 文章标签: java 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_49076592/article/details/128673161
本文详细介绍了会话标识固定这一中危安全漏洞,讨论其危害性,包括攻击者如何利用此漏洞。修复背景聚焦于SSM(Spring、Struts、MyBatis)中的Shiro框架,解释了由于会话ID未随登录改变导致的问题。解决方案是通过重写Shiro的FormAuthenticationFilter,实现动态会话ID,确保登录前后session ID不同,增强系统安全性。然而,仅修复此漏洞并不能抵御所有黑客攻击,系统整体安全性仍需重视。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.先说会话标识固定是什么以及危害性

这个漏洞是指在用户进入登录页面,但还未登录时,即产生了一个 session,用户登录后,session 的id 未改变。即系统在登录后没有建立新 session,原来的 session 也没有被销毁。攻击者事先访问系统并建立一个会话,诱使受害者使用此会话登录系统,然后攻击者再使用该会话访问系统即可登录受害者的账户。也就是说登录前和登录后共用的是一个session ID,即使对方没有你的账号密码,但只要提前登录并获取一个session ID,再让拥有账号密码的用户去使用这个已经产生了session ID的登录页,那么就相当于间接的有了登录权限,访问你的系统。

2.漏洞修复背景

所修复的漏洞,涉及的是ssm中shiro框架的登录生成的session id问题,在漏洞修复前,可以观察下自己系统登录的session id信息。

因servelet容器分配的session名为JSESSIONID,若不指定shiro本身的session ID,可能带来的问题有:与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID,当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失!

故而本系统shiro生成的session 叫做MASSESSIONID,防止和servelet的冲突。

本系统在修复前,登录时shiro产生的 session id 在登录前和登录后值是固定不变的,也就是会话标识固定。
在这里插入图片描述

3.修复

系统使用shiro框架的,一般都会继承shiro中的FormAuthenticationFilter类,重写里面的一些方法,进行登录前后的一些信息验证或者过滤,该修复手段即重写shiro生成session的方法,将固定session改为动态session。

@Component
public class FormAuthFilter extends FormAuthenticationFilter {
   
   
@Override
	protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
   
   
		AuthenticationToken token = createToken
最低0.47元/天 解锁文章

200万优质内容无限畅学
漏洞挖掘】——134、 逻辑漏洞之Session会话安全
Fly_鹏程万里
07-26 722
Session是应用系统对浏览器客户端身份认证的属性标识,在用户退出应用系统时应将客户端Session认证属性标识清空,如果未能清空客户端Session标识,在下次登录系统时系统会重复利用该Session标识进行认证会话,攻击者可利用该漏洞生成固定Session会话并诱骗用户利用攻击者生成的固定会话进行系统登录,从而导致用户会话认证被窃取。
web渗透--64--会话固化漏洞
武天旭的博客
09-24 4208
1、会话固化概述 当应用程序在用户成功认证之后未更新会话cookie,攻击者就有可能找到一个会话固定漏洞,迫使用户使用攻击者已知的cookie,在这种情况下,攻击者可以盗取用户会话会话固定漏洞一般存在于: 1、web应用程序在认证用户之前并没有让已有的会话ID失效,而是继续使用已经与用户关联的会话ID。 2、攻击者可以强制把已知的会话ID分配给用户,使得一旦用户通过认证,攻击者就可以访问已认证的会话
会话固定漏洞小结——概念、原理、检测及防御
7Riven's blog
12-29 6955
会话固定 概念 会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。 原理 访问网站时,网站会...
漏洞解决方案-固定会话攻击
smart的博客
09-16 3122
漏洞解决方案-固定会话攻击漏洞概述攻击步骤防御方法代码参考 漏洞概述        会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。 攻击步骤
会话修复及其修复方法
dlz00001的博客
06-08 577
在最近的几周里,我受命修复软件中的许多安全漏洞。 由于我不是安全专家,所以我对此非常感兴趣,并且学到了很多东西。 其中包括会话固定攻击。 上下文是一个在线Java应用程序。 其中一部分可通过简单的HTTP获得,在这里您可以进行简单的浏览; 输入凭据并成功登录后,您将切换到HTTPS。 这是在线上非常常见的设置。 例如,亚马逊就是这样工作的:您浏览产品目录并将产品以HTTP放入购物篮,但是一...
漏洞会话固定攻击(session fixation attack)
Java技术栈,分享最主流的Java技术
02-28 4209
什么是会话固定攻击? 会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 看下面Session Fixation攻击的一个简单例子: 整个攻击流程是: 1、攻击者Attacker能正常访问该应用网站; 2、应用网站服务器返...
会话固定攻击(session fixation attack)及解决办法
半夏_2021的博客
04-29 1万+
会话固定攻击(session fixation attack)及解决办法
会话cookie中缺少HttpOnly属性漏洞--分析解决
热门推荐
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
漏洞解决
weixin_33834679的博客
03-08 365
漏洞解决问题描述:在地址栏中可以直接访问:http://111.17.XX.XX:222/dsideal_yy/WEB-INF/web.xml解决办法:location ~* \.(xml)$ {    root /usr/local/tomcat7/webapps/dsideal_yy/WEB-INF/;    deny all;}...
会话(Session)固定
:)每天进步一点点
09-29 6247
会话(Session)固定   会话安全是一个复杂的话题,会话经常是攻击的目标也没有什么奇怪的。多数会话攻击都是通过攻击者模拟另外一个用户发送数据实现的。   对于攻击者决定性的信息是会话标识,任何伪装的攻击都需要这个。有三个方法获得合法的会话标识:   预测   劫持   固定   预测依赖猜测合法的会话标识。根据 PHP 的会话原理,会话标识是相当随机的,这不大可能是薄弱环节。
会话固定漏洞的分析与利用方法
weixin_50464560的博客
07-03 271
前言 该漏洞在实际应用过程中比较鸡肋,需要配合XSS攻击漏洞才能体现出来害,网上也没有过多的讲解与利用方式。 利用方法 登陆账户抓到的数据包抓取返回包登陆成功,服务端给予我们的Cookie我们去修改密码,然后在来登陆抓取返回包下面抓取到的返回cookie可以看到,与上面set Cookie中的一样。也就是这个返回值是固定的。我们在查看当前Cookie可以看到这个c_u_s的,我们只需要用XSS攻击去盗取该内容,即便对方不管怎么修改密码我们都可以直接登录他账户。 ...
java会话固定漏洞_漏洞会话固定攻击(session fixation attack)
weixin_36036925的博客
02-26 798
什么是会话固定攻击?会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。看下面Session Fixation攻击的一个简单例子:整个攻击流程是:1、攻击者Attacker能正常访问该应用网站;2、应用网站服务器返回一个会话ID给他;3、...
Web应用安全————Shiro 解决会话固定漏洞
Morty的技术乐园
09-21 3077
引言 承接上一篇《Web应用安全————账号冻结与 Session 实时失效》关于 session 的学习,本篇博客聚焦如何通过 shiro 解决会话固定导致的漏洞问题。 首先,没怎么接触过应用安全方面的小伙伴可能会发起疑问 - 什么是会话固定? 简单来说,系统在登录前和登录后使用同一个 session id,就是会话固定,默认的session 管理机制都是会话固定的。会话固定可能会造成“会...
Shiro会话固定问题解决
weixin_40641900的博客
04-17 716
不说了,上代码 //清除旧session SecurityUtils.getSubject().getSession().stop(); //生成新session SecurityUtils.getSubject().getSession(true); //登录,新session与用户绑定 Securi...
Generating a new ASP.NET session in the current HTTPContext
weixin_34129696的博客
12-01 134
void regenerateId() { System.Web.SessionState.SessionIDManager manager = new System.Web.SessionState.SessionIDManager(); string oldId = manager.GetSessionID(Context); string newId = ...
会话固定漏洞关于自己的总结思考
weixin_50464560的博客
07-03 332
其实实质上就是攻击者可以通过修改sessionid和受害者的一样,那么攻击者就可以以受害者的身份直接登录网站,不需要用户名和密码。 但是攻击者不知道受害者的sessionid,那么该怎么办呢?可以通过比如某些站点在请求后台任意需要认证的页面都是会调用session()方法,而且sessionid的接收是REQUEST(可以GET也可以POST)方式,那么攻击者可以直接构造http://x.x.x?sessionid=随便一个值,让受害者点击类似这样的链接,就可以拿到他的权限了。要让受害者登陆状态下点你的链接
防范会话固定攻击
最新发布
常备不懈
05-27 974
会话固定攻击是一种通过控制会话ID来劫持用户会话的攻击方式。攻击者首先获得一个有效的会话ID,并在用户登录之前或登录过程中强制用户使用该会话ID。这样,当用户使用这个会话ID登录后,攻击者可以通过已知的会话ID访问用户的会话,从而获取敏感信息或进行恶意操作。
常见中高漏洞修复建议(汇总)
weixin_59047731的博客
04-16 4428
【代码】常见中高漏洞修复建议(汇总)
解决shiro会话标识未更新问题
yycdaizi的专栏
04-12 8046
要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。  一般的解决方法如下: public void login(HttpServletRequest request, ...){ // 让旧session失效 request.getSession(true).invalidate(); //登录验证
JavaWeb安全漏洞修复策略与案例分析
修复方法涉及定期刷新会话标识,或者在用户操作后自动更新。 3. **跨站请求伪造(CSRF)**:攻击者利用用户的已登录状态发起非法操作。修复策略包括添加CSRF令牌,确保请求来源的真实性。 4. **账户安全**:文档讨论...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值