java窗口重新调用_java–调用invalidate后重新使用会话ID

我继承了一个非常古老的JSP应用程序(JDK 1.3.1_15),并试图插入会话固定漏洞.

在使用HttpSession.invalidate()进行身份验证后,我成功地使当前会话无效,但是在创建新会话时,将重新使用旧会话ID.

我可以在HTTP监视器中看到新的会话分配,它只是再次使用相同的号码.

-- Initial request response --

HTTP/1.1 200 OK

Set-COOKIE: JSESSIONID&＃61;6a303082951311647336934;path&＃61;/

-- login.jsp request response --

HTTP/1.1 302 Moved Temporarily

Location: http://example.com/logged-in.jsp

Set-COOKIE: JSESSIONID&＃61;6a303082951311647336934;path&＃61;/

在我使用session.invalidate()之前,第二个Set-COOKIE响应头根本不存在.

有没有人对如何生成新的会话ID有任何建议&＃xff1f;我对JRUN4不是很熟悉,但是通过配置文档进行拖网并没有发现任何问题.

最佳答案

要解决此问题,您可以使用第二个非持久性COOKIE作为可以控制其值的会话ID.我们的想法是生成一个唯一的ID并将其存储在COOKIE和会话中.通过使用invalidate,尝试使用此COOKIE尝试对此COOKIE实现相同的逻辑.具体而言,在身份验证成功之前,请不要发出将来可以接受的实际标识符.然后创建一个Servlet过滤器,检查每个请求并将此新COOKIE的值与存储在会话中的值相匹配.如果它们不匹配,就会发生一些邪恶的事情.我知道这比仅仅依靠session.invalidate()发布一个新的ID要麻烦一些.但是考虑到你的约束和JRun的行为,这将提供足够的保护来防止会话固定.

相关文章

总结

如果觉得编程之家网站内容还不错&＃xff0c;欢迎将编程之家网站推荐给程序员好友。

本图文内容来源于网友网络收集整理提供&＃xff0c;作为学习参考使用&＃xff0c;版权属于原作者。

如您喜欢交流学习经验&＃xff0c;点击链接加入交流1群&＃xff1a;1065694478(已满)交流2群&＃xff1a;163560250