|
锁定老帖子 主题:固定SessionID漏洞
精华帖 (0) :: 良好帖 (3) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2010-12-14
官方早就有补丁了,tomcat7解决了这个问题
|
| 返回顶楼 | |
|
发表时间:2010-12-15
感觉不错,虽然不是最终中的解决办法,但是还是比较安全一点的,
|
| 返回顶楼 | |
|
发表时间:2010-12-15
其实这个漏洞很简单,但整个攻击过程最难点在于如何获取用户的jsessionid
|
| 返回顶楼 | |
|
发表时间:2010-12-15
最后修改:2010-12-15
chris_zley 写道 其实这个漏洞很简单,但整个攻击过程最难点在于如何获取用户的jsessionid
这个方案不是为了解决哪些能获取用户jsessionid的情况. 而是为了解决去诱导用户使用一个与jsessionid绑定的url(sessionid的url改写),并诱使用户在此基础上进行登录操作的情况. 这和获取去获取用户jsessionid还是有本质区别的,因为这种引诱的情况,实际上是不需要攻击用户的终端和网络的. 另外,对于有人说的tomcat7每次连接都会修改jsessionid的情况,有人知道更详细的细节么? 我很疑惑的是,如果每次都修改,岂不是意味着一些并发连接可能失效了? 比如,我先是一个xhr异步请求,服务端刚生成一个新jsessionid,但是还没有返回客户端时,我又是一个xhr请求过去.此时我带的是旧的jsessionid,岂不是就会出问题? |
| 返回顶楼 | |
|
发表时间:2010-12-15
在session中保存客户端ip地址,每次都检查一下ip地址是否对应,要是不太合适就删除session。我想应该会安全点。
|
| 返回顶楼 | |
|
发表时间:2010-12-15
JE帐号 写道 chris_zley 写道 其实这个漏洞很简单,但整个攻击过程最难点在于如何获取用户的jsessionid
这个方案不是为了解决哪些能获取用户jsessionid的情况. 而是为了解决去诱导用户使用一个与jsessionid绑定的url(sessionid的url改写),并诱使用户在此基础上进行登录操作的情况. 这和获取去获取用户jsessionid还是有本质区别的,因为这种引诱的情况,实际上是不需要攻击用户的终端和网络的. 另外,对于有人说的tomcat7每次连接都会修改jsessionid的情况,有人知道更详细的细节么? 我很疑惑的是,如果每次都修改,岂不是意味着一些并发连接可能失效了? 比如,我先是一个xhr异步请求,服务端刚生成一个新jsessionid,但是还没有返回客户端时,我又是一个xhr请求过去.此时我带的是旧的jsessionid,岂不是就会出问题? 。。。你想说什么,能把话理顺了吗 |
| 返回顶楼 | |
|
发表时间:2010-12-15
服务器可以不接受url里的sessionid 只接收cookie里的sessionid
当然攻击者可以伪造 javascript:...之类的url来设置cookie 不过这样很容易被识别出来 不是一个常规的url |
| 返回顶楼 | |
|
发表时间:2010-12-15
chunquedong 写道 在session中保存客户端ip地址,每次都检查一下ip地址是否对应,要是不太合适就删除session。我想应该会安全点。
如果在局域网里,大家都用一个代理出去,一样有问题。 |
| 返回顶楼 | |
|
发表时间:2010-12-15
javaeyebird 写道 服务器可以不接受url里的sessionid 只接收cookie里的sessionid
当然攻击者可以伪造 javascript:...之类的url来设置cookie 不过这样很容易被识别出来 不是一个常规的url 我也觉得是这样。。 |
| 返回顶楼 | |
|
发表时间:2010-12-15
https也不是绝对安全的
|
| 返回顶楼 | |
