最近做的一个springboot项目 + shiro框架,在做安全漏洞检查时爆出了一个安全漏洞:会话标识未更新。用的扫描工具是IBM的AppScan。
要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。
一般的解决方法如下:
public void login(HttpServletRequest request, ...){
// 让旧session失效
request.getSession(true).invalidate();
//登录验证
}还有一种方案:
在登录页面上加上一段代码:
request.getSession().invalidate();//清空session
Cookie cookie = request.getCookies()0;//获取cookie
cookie.setMaxAge(0);//让cookie过期
然后用户再输入信息登录时,就会产生一个新的session了。
----------------------------------------------------------------------------------
但是,如果使用了shiro框架,这样做会报错:...httpSession has been already invalidated。原因是shiro对HttpSession进行了一层包装,你直接让原生的session失效,没有通知shiro,shiro再去使用session时就会报错了。
最终的解决方法,不要使用原生的失效方法,而是使用shiro自己提供的api方法:SecurityUtils.getSubject().logout();
最终方案如下:
public Map<String, Object> login(HttpServletRequest request, String username, String password) {
// 让旧session失效,这一句代码一定要放在登录验证的最前面
SecurityUtils.getSubject().logout();
// 登录验证
......
}本次针对 Appscan漏洞 会话标识未更新 进行总结,如下:
1.1、攻击原理
在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。
1.2、APPSCAN测试过程
AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞
1.3、修复建议(目前只是Apache Shiro安全框架下的修复建议)
若使用的是Apache Shiro安全框架,可使用SecurityUtils.getSubject().logout()方法,参考:http://blog.csdn.net/yycdaizi/article/details/45013397