我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:双彩网 > 允许重画 >

URL中允许携带sessionid带来的安全隐患分析

归档日期:06-28       文本归类:允许重画      文章编辑:爱尚语录

  很多WEB开发语言为了防止浏览器禁止了cookie而无法识别用户,允许在URL中携带sessionid,这样虽然方便,但却有可能引起钓鱼的安全漏洞。

  下图是从测试组发来的安全报告中剪出来的,图有些小问题,本来想重画1个,在visio中没找到合适的图。所以只能用别人的图了。

  4. 黑客把带自己sessionid的地址发送给一般用户。不同的语言带sessionid的方式不一样,着是jsp的方式)

  5. 用户在黑客给的地址中用自己的帐号进行登录,登录成功。(这个时候用户登录的信息就会覆盖黑客之前的登录信息,而且2个人用的是同1个sessionid)   6. 黑客刷新页面,看到的账户信息就是用户的信息了,而不是之前黑客自己帐号的信息。

  要防止这种问题,其实也很简单,只要在用户登录时重置alidate()方法),然后把登录信息保存到新的session中。

  可能你跟我一样,刚开始看到这个时候,就自己去测试到底能不能钓鱼成功,经过我的测试是可以成功的,但测试过程中需要注意下面几个问题:

  1. 要注意你使用的语言是如何在URL中带sessionid。(我测试的时候开始在URL中使用大写的jsessionid,导致一直不起效)

  2. 要页面登录表单的action也带上了jsessionid,不然也没用。对于这个问题你可能觉得如果login.jsp表单的action是写死,而不是读取当前URL的,     可能就不会出现这个钓鱼问题。这只能防住1个方向。黑客可以做1个和login.jsp一模一样的页面(比如,然后把这个地址发个客户,而这个地址中的表单这样写就可以:   form action=

  1.第一种就是大家喜闻乐见的使用cookie中JSESSIONID=sessionID的方式存储到客户端,然后发送到服务器端,就可以从服务器的内存中根据ID找到HttpSession对象。2.但是要注...博文来自:zaoanmiao的博客

  cookie是把用户的数据写在用户本地浏览器上, 其他网站也可以扫描使用你的cookie,容易泄露自己网站用户的隐私. cookie保存不重要的信息,session保存账号等重要信息,如果这样,为什么论坛

  我在通过websocket实现这个功能的过程中遇到了2个问题:websocket建立连接时需要传递参数(例如服务器ip,项目名称,日志文件位置等)进去;需要注入service层的类,以便在onOpen...博文来自:Adam的博客

  想通过curl为另一个域名设置一个session,但试了好长时间总是不行? 论坛

  很多WEB开发语言为了防止浏览器禁止了cookie而无法识别用户,允许在URL中携带sessionid,这样虽然方便,但却有可能引起钓鱼的安全漏洞。 图示: 下图是从测试组发来的安全报告中剪出来的...博文来自:javasee

  最近几天屡次出现登录CSDN账户登陆问题,具体的问题是:在以往保留的正确的账号和密码的界面上自动登录,登录到了一个不知名的账号上。于是我便开始寻找正确的解决方案之路:1.在账号输入界面重新输入自己的账...博文来自:Echo_Ana的博客

  cookie自我理解就是记录浏览器的一种行为仪器,cookie作用:1.可以在客户端上保存用户数据,起到简单的缓存和用户身份识别等作用。2.保存用户的登陆状态,用户进行登陆,成功登陆后,服务器生成特定...博文来自:静坐常思己过,动则有的放矢

  主要是学习了这篇微博:这篇文章在方案3和方案4中讲解的个人有点不理解,加了一点自己的理解原文1.U第一次...博文来自:石头也有呆毛~~

  请教个问题,crul抓取后台页面,会丢失session直接就退到登录页面,哪一位做过这种crul抓取,保持session吗?论坛

  这几天工作有大量用curl,curl就是模拟浏览器来传输数据,他支持很多的协议HTPP,HTTPS,FTP….等等很多协议,在做采集和模拟用户来执行一些操作的时候非常有用的。使用CURL主要是四个步骤...博文来自:越看越顺眼专栏

  我使用Springboot构建了一个web项目,遵循了RESTful风格,但是在CRUD的删除操作中,我遇到了一个问题:非RESTFUL项目在delete中,往常的项目一般是传一个类似这样的url然后...博文来自:的博客

  情景登陆后,地址栏偶尔会出现sessionid,这是为什么呢?解释为什么会出现?根本原因是服务器对url进行了地址重写;分析过程第一次登陆请求时,请求头中没有cookie,服务器端会以为客户端禁用了c...博文来自:wangjun5159的专栏

  最近由于项目需要,在开发一系列浏览器插件,涉及的浏览器包括Chrome,Firefox和IE。在插件的实现中,部分功能需要通过跨域的API调用完成,这会导致一些问题,而问题在IE浏览器中尤为突出。首先...博文来自:冷月无声

  我在做用户登陆时大费周章,又是rsa又是md5的,忽然想起DNS欺骗的问题,如果用户被dns劫持,不管我用什么样的方法,用户如果在被支持的页面上输入密码都毫无安全可言,并且https我们是不可能用的,...博文来自:a563501734的博客

  之前写过一个第三方登录的方案,就是利用tomcatsession和cookie配合的方式来完成第三方跨域登录。在时间做的过程中碰到了一个问题,就是在回写浏览器的cookie时发现一直写不进去,针对这个...博文来自:w450093854的专栏

  关于页面跳转同时传参:1.执行后台方法存参数于session中2.通过将参数拼接于URL安全性考虑:第二种的安全性肯定不好了,关于session的安全性有待考证(多学习一点)参考文章1...博文来自:博客写得好,技术好,才是真的好

  来自Vett的博客很多关于PHP的书都会介绍SESSION机制.但是往往介绍如何去使用,很少提及SESSION安全性雷区,如何正确的使用SESSION?SESSION机制为什么要有SESSION机制?...博文来自:newlooc的博客

  cookie作用:1.可以在客户端上保存用户数据,起到简单的缓存和用户身份识别等作用。2.保存用户的登陆状态,用户进行登陆,成功登陆后,服务器生成特定的cookie返回给客户端,客户端下次访问该域名下...博文来自:liang526011569的博客

  注意**大部分网站当用户的浏览器不支持cookie的时候基本上就放弃该用户,不再为该用户提供会话支持,因为通过post,get等方式不安全。在以其他方式传递sessionid的时候,如果客户端开启co...博文来自:walker

  根据rfc规范,url中不允许有,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是还是较为常见的。在tomcat升级到7以后,对url字符的检查都变严格了,如果出现这类字...

  跨域请求及跨域携带Cookie解决方案Web项目前后端分离开发时,经常会遇到跨域请求和跨域携带Cookie的相关问题:跨域请求服务端可以根据实际需求修改下面设置,以Java代码为做示例://允许跨域的...

  Ajax跨域每次请求产生新的sessionId在处理多语言过程中,需要在门户中往其它应用的session中设置语言ID,跳转到其它应用时从session中获取出语言ID设置语言,才能整个应用圈使用同一...

  跨域的解决方案网上跨域的解决方案有很多,但是比较新一点有两种,一个是jsonp,一个是cors。cors比jsonp还要新一些,本文所述都是基于cors的。但是jsonp可以在不支持cors的浏览器中...

  当今企业可以收集客户在互联网使用过程中的各种数据。这些信息可能包括移动应用使用情况、网络点击、社交媒体互动等,所有这些数据构成了其所有者独特的数据使用轨迹。然而,就在不久之前,客户分享诸如什么时候醒来...

  cookie和session的区别:1、cookie数据存放在客户的浏览器上,session数据放在服务器上。2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗  ...

  关于Cookie禁用的问题上一篇文章已经提过,sessionID通过cookie保存在客户端,如果将cookie禁用,必将对session的使用造成一定的影响。而解决这个问题的办法是:URL重写因为c...

  url中有Jsessionid生成的原因:jsessionid是标明session的id的(有点废话。。。),它是存在于cookie中的,一般情况下不会出现在url中,服务器会从客户端的cookie中...

  地址栏中出现汉字的情况有两种,一种是汉字出现在URL的路径部分,一种是汉字出现在URL的传参的部分,第二种情况的时候必须采用编码后传参,接受时解码的方式完成传参。js中编码有escape(),enco...

  1保存sessionID的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器2由于cookie可以被人为的禁止,必须有其他机制在cookie被禁止时依然能够把se...

  最近在整理框架,登陆成功后用户信息没有保存,后面获取用户信息怎么也获取不到,最后发现是每次请求的sessionId都不同。...

  在开发基于web的服务器的时候,我们经常需要传递一些敏感数据,比如用户名密码、信用卡信息等。那么应该如何保证这些信息的安全性? 我目前设计的一个系统,采用HTTPsGET方式来传递信息,里面把信息通过...

  我本来是用代理来做本地测试的,最后发现微信网页开发,重定向跳转回来,后端一直取不到cookie,试了很多方法发现都不行,后来直接放弃代理,直接在axios里加入这句,每次请求携带cookie过去然后发...

  四年的时间,一直使用EmEditor编辑器进行Python开发,之前是做面向过程,只需要将一个单独的py文件维护好即可,用着也挺顺手,但是最近在做面向对象的开发,不同的py文件中相互关联较多,...

  翘起尾巴的熊的博客jquery/js实现一个网页同时调用多个倒计时(最新的)

  jquery/js实现一个网页同时调用多个倒计时(最新的) 最近需要网页添加多个倒计时. 查阅网络,基本上都是千遍一律的不好用. 自己按需写了个.希望对大家有用. 有用请赞一个哦! //js ...

  强连通分量: 简言之 就是找环(每条边只走一次,两两可达) 孤立的一个点也是一个连通分量   使用tarjan算法 在嵌套的多个环中优先得到最大环( 最小环就是每个孤立点)   定义: int Ti...

本文链接:http://darwinsucks.com/yunxuzhonghua/104.html