【问题标题】:JsessionId spoofing - Jboss 7JsessionId 欺骗 - Jboss 7
【发布时间】:2015-08-04 07:42:27
【问题描述】:

我的应用程序在 jboss 7 中运行,并且使用 jsessionid cookie 维护会话,该 cookie 被标记为安全和 httponly。但即便如此,如果我能够获取任何用户的 jsessionid cookie 值,我将能够以用户的身份进行欺骗。有什么办法可以预防吗?

【问题讨论】:

    标签: java jboss7.x jsessionid


    【解决方案1】:

    当您在服务器上有一个用户会话时,您需要将来自用户的请求与其会话相匹配,这是 JSESSIONID cookie 的目标。

    这就是为什么您需要通过添加“安全”(此 cookie 将仅通过 https 发送以防止网络嗅探)和“HttpOnly”(禁用客户端 javascript 代码访问此 cookie)选项来保护它的原因。

    您可以通过检查用户 IP 地址的更改(但会破坏合法用户的 3G/WIFI 更改)、用户代理字符串、...来添加其他缓解方法 但实际上,如果您可以访问 JSESSIONID cookie,您也可以访问这些数据。

    您可以查看 OWASP 会话管理备忘单了解更多信息: https://www.owasp.org/index.php/Session_Management_Cheat_Sheet

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2011-06-27
      • 1970-01-01
      • 1970-01-01
      • 2012-01-03
      • 2023-03-09
      • 2019-06-05
      • 2013-05-03
      相关资源
      最近更新 更多