当前位置:  编程技术>java/j2ee

URL中允许携带sessionid带来的安全隐患分析

    来源: 互联网  发布时间:2014-10-18

    本文导语:  图示:    下图是从测试组发来的安全报告中剪出来的,图有些小问题,本来想重画1个,在visio中没找到合适的图。所以只能用别人的图了。           说明:      让我们对上图的步骤进行详细说明:      1. 黑客...

图示:

   下图是从测试组发来的安全报告中剪出来的,图有些小问题,本来想重画1个,在visio中没找到合适的图。所以只能用别人的图了。

       

 

说明:   

  让我们对上图的步骤进行详细说明:   

  1. 黑客用自己的帐号登录,假设登录页面是:http://www.abc.com/login.jsp   

  2. 服务器返回登录成功。   

  3. 黑客从cookie中查看自己的sessionid,比如是1234   

  4. 黑客把带自己sessionid的地址发送给一般用户。http://www.abc.com/login.jsp;jsessionid=1234(不同的语言带sessionid的方式不一样,着是jsp的方式)   

  5. 用户在黑客给的地址中用自己的帐号进行登录,登录成功。(这个时候用户登录的信息就会覆盖黑客之前的登录信息,而且2个人用的是同1个sessionid)   6. 黑客刷新页面,看到的账户信息就是用户的信息了,而不是之前黑客自己帐号的信息。

 

防治:  

  要防止这种问题,其实也很简单,只要在用户登录时重置session(session.invalidate()方法),然后把登录信息保存到新的session中。

 

后语:  

  可能你跟我一样,刚开始看到这个时候,就自己去测试到底能不能钓鱼成功,经过我的测试是可以成功的,但测试过程中需要注意下面几个问题:  

  1. 要注意你使用的语言是如何在URL中带sessionid。(我测试的时候开始在URL中使用大写的jsessionid,导致一直不起效)    

  2. 要http://www.abc.com/login.jsp;jsessionid=1234页面登录表单的action也带上了jsessionid,不然也没用。对于这个问题你可能觉得如果login.jsp表单的action是写死,而不是读取当前URL的,     可能就不会出现这个钓鱼问题。这只能防住1个方向。黑客可以做1个和login.jsp一模一样的页面(比如http://www.abc1.com/login.jsp),然后把这个地址发个客户,而这个地址中的表单这样写就可以:   


    
 
 

您可能感兴趣的文章:

 
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • java命名空间java.net类url的类成员方法: url定义及介绍
  • 请问各位高手,getImage(URL url)中的URL url参数是怎么用的?
  • java命名空间java.net类urlconnection的类成员方法: url定义及介绍
  • URL url=new URL(/tech-java/"http_/156.66.212.15_8080/djs/servlet/DbServlet"/index.html);这句有什么错误?
  • java命名空间java.net类url的类成员方法: getdefaultport定义及介绍
  • 获取上一页面的URL和本页的URL的方法
  • java命名空间java.net类url的类成员方法: getprotocol定义及介绍
  • 如何防止没有权限的人由于知道url,直接输入url,来察看文件呢?
  • java命名空间java.net类url的类成员方法: samefile定义及介绍
  • 如何根据一个url得到其下url???
  • java命名空间javax.print类docflavor.url的类成员方法: gif定义及介绍
  • jquery 取url参数及在url后添加参数的例子
  • java命名空间javax.print类docflavor.url的类成员方法: postscript定义及介绍
  • 有谁会用linux里面的wget?有一个参数是-i 后面加上url地址文件,我不明白什么叫url地址文件,那位大侠告诉我?
  • java命名空间javax.print类docflavor.url的类成员方法: pdf定义及介绍
  • jquery获取url及url参数的方法
  • java命名空间javax.print类docflavor.url的类成员方法: jpeg定义及介绍
  • 各位高手:本人初学JDBC对各个数据连接时的URL的书写还很模糊,有谁可以提供以下各数据库的连接发,由其是URL的书写。
  • java命名空间javax.print类docflavor.url的类成员方法: png定义及介绍
  • 在配Samba的時候,在windows的網絡芳鄰里能看到電腦名稱,在url里輸入\加IP也能訪問,但是在網絡芳鄰里直接雙擊或是在URL里輸入\加電腦名
  • java命名空间java.net类url的类成员方法: touri定义及介绍
  • java解析出url请求的路径和参数键值对类(解析出url请求的路径,包括页面)


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3