zoukankan      html  css  js  c++  java
  • spring security防御会话伪造session攻击

    1. 攻击场景

    session fixation会话伪造攻击是一个蛮婉转的过程。

    比如,当我要是使用session fixation攻击你的时候,首先访问这个网站,网站会创建一个会话,这时我可以把附有jsessionid的url发送给你。

    http://unsafe/index.jsp;jsessionid=1pjztz08i2u4i
            

    你使用这个网址访问网站,结果你和我就会公用同一个jsessionid了,结果就是在服务器中,我们两人使用的是同一个session。

    这时我只要祈求你在session过期之前登陆系统,然后我就可以使用jsessionid直接进入你的后台了,然后可以使用你在系统中的授权做任何事情。

    简单来说,我创建了一个session,然后把jsessionid发给你,你傻乎乎的就使用我的session进行了登陆,结果等于帮我的session进行了授权操作,结果就是我可以使用一开始创建的session进入系统做任何事情了。

    与会话伪造的详细信息可以参考http://en.wikipedia.org/wiki/Session_fixation

    2. 解决会话伪造

    解决session fix的问题其实很简单,只要在用户登录成功之后,销毁用户的当前session,并重新生成一个session就可以了。

    Spring Security默认就会启用session-fixation-protection,这会在登录时销毁用户的当前session,然后为用户创建一个新session,并将原有session中的所有属性都复制到新session中。

    如果希望禁用session-fixation-protection,可以在http中将session-fixation-protection设置为none。

    <http auto-config='true'>
    	<intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
    	<intercept-url pattern="/**" access="ROLE_USER" />
    	<session-management session-fixation-protection="none"/>
    </http>
            

    session-fixation-protection的值共有三个可供选择,none,migrateSession和newSession。默认使用的是migrationSession,如同我们上面所讲的,它会将原有session中的属性都复制到新session中。上面我们也见到了使用none来禁用session-fixation功能的场景,最后剩下的newSession会在用户登录时生成新session,但不会复制任何原有属性。

  • 相关阅读:
    阅读 Android源码的一些姿势
    Unity3d UGUI 界面适配 实例解析 三种适配方式
    Unity3D Android手机开发环境配置
    DOTween教程
    DoTween 部分中文文档
    C# 委托、事件,lamda表达式
    EditText中输入信息的限制的方法
    Android中shape中的属性大全
    Android 高版本API方法在低版本系统上的兼容性处理
    python 绘制f(x)=x^2
  • 原文地址:https://www.cnblogs.com/wenjieyatou/p/6118585.html
Copyright © 2011-2022 走看看