• 解决springboot项目shiro框架下的AppScan漏洞会话标识未更新问题


    最近做的一个springboot项目 + shiro框架,在做安全漏洞检查时爆出了一个安全漏洞:会话标识未更新。用的扫描工具是IBM的AppScan。

    要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。 

    一般的解决方法如下:

        public void login(HttpServletRequest request, ...){
             // 让旧session失效
             request.getSession(true).invalidate();
             //登录验证
        }

    还有一种方案:

    在登录页面上加上一段代码:
    request.getSession().invalidate();//清空session
    Cookie cookie = request.getCookies()0;//获取cookie
    cookie.setMaxAge(0);//让cookie过期
    

    然后用户再输入信息登录时,就会产生一个新的session了。

    ----------------------------------------------------------------------------------

    但是,如果使用了shiro框架,这样做会报错:...httpSession has been already invalidated。原因是shiro对HttpSession进行了一层包装,你直接让原生的session失效,没有通知shiro,shiro再去使用session时就会报错了。
    最终的解决方法,不要使用原生的失效方法,而是使用shiro自己提供的api方法:SecurityUtils.getSubject().logout();

    最终方案如下:

    public Map<String, Object> login(HttpServletRequest request, String username, String password) {
        
            // 让旧session失效,这一句代码一定要放在登录验证的最前面
            SecurityUtils.getSubject().logout();
            // 登录验证
            ......
            
        }

    本次针对 Appscan漏洞 会话标识未更新 进行总结,如下:

    1.1、攻击原理

      在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。

    1.2、APPSCAN测试过程

      AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞

    1.3、修复建议(目前只是Apache Shiro安全框架下的修复建议)

      若使用的是Apache Shiro安全框架,可使用SecurityUtils.getSubject().logout()方法,参考:http://blog.csdn.net/yycdaizi/article/details/45013397

     

  • 相关阅读:
    JS弹出层可拖拽
    DWZ搭建页面快速入门笔记
    JQuery 选择器总结
    最新身份证验证
    centos7磁盘扩容
    vue中使用vueamap(高德地图)
    后台数据格式有问题,更改数据格式
    《JavaScript高级程序设计(第3版)》问题收集
    slice()、substr()、substring()的结果
    【SQL】统计数据过程中利用Union去重
  • 原文地址:https://www.cnblogs.com/no8g/p/13415593.html
Copyright © 2020-2023  润新知