ESAPI是开源组织owasp,开放的安全开发框架,但百度、google搜索相关的技术文章很少,今天小尝试了一下,分享一下心得。
会话攻击,简单理解就是盗用窃取用户的cookie,伪装成用户,向服务器端发送请求,窃取用户私密信息。
具体如何防止会话攻击,很简单,参照《Web应用安全威胁与防治--基于OWASP TOP 10 与ESAPI》书中介绍的方法,一旦用户登录成功后,马上validate用户的会话,具体步骤如下:
- 用户输入用户名和密码
- 系统对用户进行验证通过
- 已有的会话信息如果仍然需要,则转移到一个临时变量中去
- invalidate当前会话
- 创建一个新会话
- 把临时变量中保存的会话信息恢复到新创建的会话中去
- 用户使用这个新的会话登录到系统中并进行操作
贴出实例
构造一个简单登录页面
- <body>
- <form action="loginServlet" method="post">
- 用户名:<input type="text" name="username" /><br/>
- 密码:<input type="password" name="password"/><br/>
- <input type="submit" value="登录"/>
- </form>
- </body>
验证成功的页面
- <body>
- 欢迎${sessionScope.username }登录
- </body>
然后是一个LoginServlet,其中DefaultHTTPUtilities是ESAPI中org.owasp.esapi.reference.DefaultHTTPUtilities类,该类的changeSessionIdentifier(request),就是实现上述功能。
- public void doPost(HttpServletRequest request, HttpServletResponse response)
- throws ServletException, IOException {
- String username = request.getParameter("username");
- String password = request.getParameter("password");
- DefaultHTTPUtilities dhUtil = new DefaultHTTPUtilities();
- try {
- HttpSession session = dhUtil.changeSessionIdentifier(request);
- session.setAttribute("username", username);
- session.setAttribute("password", password);
- request.getRequestDispatcher("/index.jsp").forward(request, response);
- } catch (AuthenticationException e) {
- e.printStackTrace();
- }
- }
贴出changeSessionIdentifier(request)方法源码
- public HttpSession changeSessionIdentifier(HttpServletRequest request) throws AuthenticationException {
- // get the current session
- HttpSession oldSession = request.getSession();
- // make a copy of the session content
- Map<String,Object> temp = new ConcurrentHashMap<String,Object>();
- Enumeration e = oldSession.getAttributeNames();
- while (e != null && e.hasMoreElements()) {
- String name = (String) e.nextElement();
- Object value = oldSession.getAttribute(name);
- temp.put(name, value);
- }
- // kill the old session and create a new one
- oldSession.invalidate();
- HttpSession newSession = request.getSession();
- User user = ESAPI.authenticator().getCurrentUser();
- user.addSession( newSession );
- user.removeSession( oldSession );
- // copy back the session content
- for (Map.Entry<String, Object> stringObjectEntry : temp.entrySet())
- {
- newSession.setAttribute(stringObjectEntry.getKey(), stringObjectEntry.getValue());
- }
- return newSession;
- }