h5模板网站有哪些,广州白云区网站开发,wordpress支持的语言包,百度上看了不健康的内容犯法吗本次针对 Appscan漏洞 会话标识未更新进行总结#xff0c;如下#xff1a;1. 会话标识未更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时#xff0c;如果不使任何现有会话标识失效#xff0c;攻击者就有机会窃取已认证的会话#xff0c;此漏洞可结合XSS获取用…本次针对 Appscan漏洞 会话标识未更新进行总结如下1. 会话标识未更新1.1、攻击原理在认证用户或者以其他方式建立新用户会话时如果不使任何现有会话标识失效攻击者就有机会窃取已认证的会话此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。1.2、APPSCAN测试过程AppScan会扫描“登录行为”前后的Cookie其中会对其中的会话信息进行记录在登录行为发生后如果cookie中这个值没有发生变化则判定为“会话标识未更新”漏洞1.3、修复建议1. 始终生成新的会话供用户成功认证时登录防止用户操纵会话标识请勿接受用户浏览器登录时所提供的会话标识在对新用户会话授权之前废除任何现有会话标识。2. 对于不为会话标识 cookie 生成新值的平台(例如 ASP)请利用辅助 cookie。在该方法中将用户浏览器上的辅助 cookie 设置为随机值并将会话变量设置为相同值。如果会话变量和 cookie 值从不匹配请废除会话并强制用户再次登录。3. 若使用的是Apache Shiro安全框架可使用SecurityUtils.getSubject().logout()方法,参考http://blog.csdn.net/yycdaizi/article/details/450133971.4、修复代码样例在登陆页面中添加如下代码request.getSession().invalidate();//清空sessionCookie cookie request.getCookies()[0];//获取cookiecookie.setMaxAge(0);//让cookie过期%在验证登陆成功前添加如下代码:try {request.getSession().invalidate();if (request.getCookies() ! null) {Cookie cookie request.getCookies()[0];//获取cookiecookie.setMaxAge(0);//让cookie过期}} catch (Exception e) {e.printStackTrace();}session request.getSession(true);1.5、例外处理登录前后会话确实已更新则可视为误报1.6 、实际修复方案在登录成功之后加入图上红框中的代码。
