多数WEB应用采用了会话技术来实现身份和权限的管理,因此会话安全性对身份管理类功能的安全性有重要的影响,常见的会话安全漏洞包括会话有效期管理失控、会话ID随机性不足、固定会话漏洞、不安全的会话传输、不安全的会话属性等。不安全的会话管理会影响身份认证和权限管理体系的安全性,增加身份冒用的风险。JSP登录前后改变JSESSIONID,避免系统被入侵。
方法/步骤
1
找出session生成的位置。request.getSession()的时候就会生成session。
2
我们可以从浏览器直接看到jsession的id。登录之后也是没有变化的,很多系统是通用一个session来传递信息的。
3
所以我们要改变jsessionid,避免系统被入侵。下面是一种方法配置web.xml的filter的方法。(需要配置在Struts2插件过滤器前)
4
这是一个html文件
6
另一种处理建议就是不要在jsp页面进行,request.getServerName()方法引用客户端传进来的hostname值。否则后台用抓包工具就可以通过修改hostname值来侵入系统。图片是登录前的session值。
7
另一种建议是拼接生成URL时引用静态变量定义的服务器域名,或者使用相对路径生成URL。另外两种具体内容没有写,需要自己琢磨了。
上一篇:口袋妖怪黑2下载攻略