ESAPI之会话安全 -

tooby

浏览: 117338 次
性别:
来自: 广州

最近访客更多访客>>

Java_love_88

bigstar119

Deo

sahala79

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

ESAPI之会话安全

博客分类：

Java

ESAPI是开源组织owasp，开放的安全开发框架，但百度、google搜索相关的技术文章很少，今天小尝试了一下，分享一下心得。

会话攻击，简单理解就是盗用窃取用户的cookie，伪装成用户，向服务器端发送请求，窃取用户私密信息。

具体如何防止会话攻击，很简单，参照《Web应用安全威胁与防治--基于OWASP TOP 10 与ESAPI》书中介绍的方法，一旦用户登录成功后，马上validate用户的会话，具体步骤如下：

用户输入用户名和密码

系统对用户进行验证通过

已有的会话信息如果仍然需要，则转移到一个临时变量中去

invalidate当前会话

创建一个新会话

把临时变量中保存的会话信息恢复到新创建的会话中去

用户使用这个新的会话登录到系统中并进行操作

贴出实例

构造一个简单登录页面

[html]view plaincopyprint? 
<body>  
    <form action="loginServlet" method="post">  
        用户名:<input type="text" name="username" /><br/>  
        密码：<input type="password" name="password"/><br/>  
        <input type="submit" value="登录"/>  
    </form>  
  </body>  

验证成功的页面

[html]view plaincopyprint? 
<body>  
   欢迎${sessionScope.username }登录  
 </body>  

然后是一个LoginServlet，其中DefaultHTTPUtilities是ESAPI中org.owasp.esapi.reference.DefaultHTTPUtilities类，该类的changeSessionIdentifier(request)，就是实现上述功能。

[java]view plaincopyprint? 
public void doPost(HttpServletRequest request, HttpServletResponse response)  
            throws ServletException, IOException {  
        String username = request.getParameter("username");  
        String password = request.getParameter("password");  
        DefaultHTTPUtilities dhUtil = new DefaultHTTPUtilities();  
        try {  
            HttpSession session = dhUtil.changeSessionIdentifier(request);  
            session.setAttribute("username", username);  
            session.setAttribute("password", password);  
            request.getRequestDispatcher("/index.jsp").forward(request, response);  
        } catch (AuthenticationException e) {  
            e.printStackTrace();  
        }  
    }  

贴出changeSessionIdentifier(request)方法源码

[java]view plaincopyprint? 
public HttpSession changeSessionIdentifier(HttpServletRequest request) throws AuthenticationException {  
  
        // get the current session  
        HttpSession oldSession = request.getSession();  
  
        // make a copy of the session content  
        Map<String,Object> temp = new ConcurrentHashMap<String,Object>();  
        Enumeration e = oldSession.getAttributeNames();  
        while (e != null && e.hasMoreElements()) {  
            String name = (String) e.nextElement();  
            Object value = oldSession.getAttribute(name);  
            temp.put(name, value);  
        }  
  
        // kill the old session and create a new one  
        oldSession.invalidate();  
        HttpSession newSession = request.getSession();  
        User user = ESAPI.authenticator().getCurrentUser();  
        user.addSession( newSession );  
        user.removeSession( oldSession );  
  
        // copy back the session content  
      for (Map.Entry<String, Object> stringObjectEntry : temp.entrySet())  
      {  
         newSession.setAttribute(stringObjectEntry.getKey(), stringObjectEntry.getValue());  
        }  
        return newSession;  
    }  

分享到：

Escape HTML | javascript之数组操作

2015-10-08 11:26
浏览 1123
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

ESAPI之会话安全

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

ESAPI之会话安全

评论

发表评论

相关推荐

Java EE 7和Angular JS来构建一个非常简单的应用

Hibernate4之二级缓存配置

Java NIO写大文件比较

133个Java面试问题

Java中的内部类和匿名类

Java Collection

eclipse从数据库逆向生成Hibernate实体类

Jbpm4.4+hibernate3.5.4+spring3.0.4+struts2.1.8整合例子

OGNL表达式struts2标签“%，#，$”

spring security控制权限的几种方法

使用 Spring Security 保护 Web 应用的安全

Escape HTML

Java Map借助key List的排序

Spring MVC 配置

Spring配置

Axis2 Session管理

eclipse+webservice开发实例

excel 单元格的锁定 以及 JXL的实现方式

log4j使用

spring + log4j配置

最近访客更多访客>>

excel 单元格的锁定以及 JXL的实现方式