我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:双彩网 > 允许重画 >

URL中允许携带sessionid带来的安全隐患。

归档日期:06-30       文本归类:允许重画      文章编辑:爱尚语录

  很多WEB开发语言为了防止浏览器禁止了cookie而无法识别用户,允许在URL中携带sessionid,这样虽然方便,但却有可能引起钓鱼的安全漏洞。

  下图是从测试组发来的安全报告中剪出来的,图有些小问题,本来想重画1个,在visio中没找到合适的图。所以只能用别人的图了。

  4. 黑客把带自己sessionid的地址发送给一般用户。不同的语言带sessionid的方式不一样,着是jsp的方式)

  5. 用户在黑客给的地址中用自己的帐号进行登录,登录成功。(这个时候用户登录的信息就会覆盖黑客之前的登录信息,而且2个人用的是同1个sessionid)   6. 黑客刷新页面,看到的账户信息就是用户的信息了,而不是之前黑客自己帐号的信息。

  要防止这种问题,其实也很简单,只要在用户登录时重置alidate()方法),然后把登录信息保存到新的session中。

  可能你跟我一样,刚开始看到这个时候,就自己去测试到底能不能钓鱼成功,经过我的测试是可以成功的,但测试过程中需要注意下面几个问题:

  1. 要注意你使用的语言是如何在URL中带sessionid。(我测试的时候开始在URL中使用大写的jsessionid,导致一直不起效)

  2. 要页面登录表单的action也带上了jsessionid,不然也没用。对于这个问题你可能觉得如果login.jsp表单的action是写死,而不是读取当前URL的,     可能就不会出现这个钓鱼问题。这只能防住1个方向。黑客可以做1个和login.jsp一模一样的页面(比如,然后把这个地址发个客户,而这个地址中的表单这样写就可以:form action=

  本文转自BearRui(AK-47)博客园博客,原文链接:  ,如需转载请自行联系原作者

  我在本地测试,用firefox的调试功能(请求头信息)查看cookie: 如下: JSESSIONID=1论坛

  最近几天屡次出现登录CSDN账户登陆问题,具体的问题是:在以往保留的正确的账号和密码的界面上自动登录,登录到了一个不知名的账号上。于是我便开始寻找正确的解决方案之路:1.在账号输入界面重新输入自己的账...博文来自:Echo_Ana的博客

  我使用Springboot构建了一个web项目,遵循了RESTful风格,但是在CRUD的删除操作中,我遇到了一个问题:非RESTFUL项目在delete中,往常的项目一般是传一个类似这样的url然后...博文来自:的博客

  主要是学习了这篇微博:这篇文章在方案3和方案4中讲解的个人有点不理解,加了一点自己的理解原文1.U第一次...博文来自:石头也有呆毛~~

  目前项目有个安全性问题需要解决! 场景 :用google chrome查看系统登录前后的jsessionid值是一样的。 需求:在系统登录前后这个jsessionid要不一样。 尝试方法一: 在登录页论坛

  通过nginx 进行的反向代理跨域,每次进行请求,都不会带上本地cookie ,导致每次访问后台服务器(第三方因为不认识所以无法叫他们设置)后台都会重新设置一次JSESSIONID,然后间接后台找不到论坛

  原文地址:)第一次访问服务器的时候,会在响应头里面看到Set-Cookie信息(只有在...博文来自:坦GA的博客

  session原理:1、session是保存在服务器端,理论上是没有是没有限制,只要你的内存够大2、浏览器第一次访问服务器时会创建一个session对象并返回一个JSESSIONID=ID的值,  创...博文来自:why

  情景登陆后,地址栏偶尔会出现sessionid,这是为什么呢?解释为什么会出现?根本原因是服务器对url进行了地址重写;分析过程第一次登陆请求时,请求头中没有cookie,服务器端会以为客户端禁用了c...博文来自:wangjun5159的专栏

  Ajax跨域每次请求产生新的sessionId在处理多语言过程中,需要在门户中往其它应用的session中设置语言ID,跳转到其它应用时从session中获取出语言ID设置语言,才能整个应用圈使用同一...博文来自:幸福的娃娃菜

  之前写过一个第三方登录的方案,就是利用tomcatsession和cookie配合的方式来完成第三方跨域登录。在时间做的过程中碰到了一个问题,就是在回写浏览器的cookie时发现一直写不进去,针对这个...博文来自:w450093854的专栏

  这是一个保险措施 因为Session默认是需要Cookie支持的 但有些客户浏览器是关闭Cookie的 这个时候就需要在URL中指定服务器上的session标识,也就是5F4771183629C983...博文来自:大头之家

  在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码:if(cookies.lenght==0c...博文来自:cxzhq2002的杂记

  用springsecurity的时候遇到了一个很诡异的问题:已经登录的用户,而且没有标记remember-me,在重启服务器之后还会显示已经登录状态这就严重啦,这样子如果要在session中储存用户的...博文来自:钟绍威

  在服务器端,我们用惯了session.setAttribute(,userInfo)这样的一行代码,估计你很少想到:服务器与浏览器之间是如何保持会话状态的。好了,先引用一些文章的精彩片段:http...博文来自:Crack The World

  来自Vett的博客很多关于PHP的书都会介绍SESSION机制.但是往往介绍如何去使用,很少提及SESSION安全性雷区,如何正确的使用SESSION?SESSION机制为什么要有SESSION机制?...博文来自:newlooc的博客

  关于页面跳转同时传参:1.执行后台方法存参数于session中2.通过将参数拼接于URL安全性考虑:第二种的安全性肯定不好了,关于session的安全性有待考证(多学习一点)参考文章1...博文来自:博客写得好,技术好,才是真的好

  最近由于项目需要,在开发一系列浏览器插件,涉及的浏览器包括Chrome,Firefox和IE。在插件的实现中,部分功能需要通过跨域的API调用完成,这会导致一些问题,而问题在IE浏览器中尤为突出。首先...博文来自:冷月无声

  jsp如果用url在地址栏直接传sessionid为什么一定要用分号如此例论坛

  跨域请求及跨域携带Cookie解决方案Web项目前后端分离开发时,经常会遇到跨域请求和跨域携带Cookie的相关问题:跨域请求服务端可以根据实际需求修改下面设置,以Java代码为做示例://允许跨域的...

  跨域的解决方案网上跨域的解决方案有很多,但是比较新一点有两种,一个是jsonp,一个是cors。cors比jsonp还要新一些,本文所述都是基于cors的。但是jsonp可以在不支持cors的浏览器中...

  cookie作用:1.可以在客户端上保存用户数据,起到简单的缓存和用户身份识别等作用。2.保存用户的登陆状态,用户进行登陆,成功登陆后,服务器生成特定的cookie返回给客户端,客户端下次访问该域名下...

  背景前段时间感觉自己使用Hexo搭建的个人独立博客使用起来颇为无力(大抵是多说关服的原因),遂萌生出了自己给自己定制一个博客的想法,恰巧又赶上了学校的“软件课程设计”,要求做一个基于数据库的软件,于是...

  最近在整理框架,登陆成功后用户信息没有保存,后面获取用户信息怎么也获取不到,最后发现是每次请求的sessionId都不同。...

  关于Cookie禁用的问题上一篇文章已经提过,sessionID通过cookie保存在客户端,如果将cookie禁用,必将对session的使用造成一定的影响。而解决这个问题的办法是:URL重写因为c...

  1.ICMP协议  在学习ICMP协议之前,我们先来回顾下IP协议。  IP协议的缺点:无差错报告和差错纠正机制,缺少一种为主机管理查询的机制。  数据在网络中传输必须要封装成IP数据报格式,而IP协...

  我本来是用代理来做本地测试的,最后发现微信网页开发,重定向跳转回来,后端一直取不到cookie,试了很多方法发现都不行,后来直接放弃代理,直接在axios里加入这句,每次请求携带cookie过去然后发...

  博主在项目开发中,遇到一个问题,在当前网页,发送一个跨域请求,可是浏览器给我报401:notauthorizated。一开始以为是我写的http请求没有带入一些身份验证信息,后来仔细研究了下,此跨域请...

  今天应项目需要,需要在请求当中加入sessionID的验证,但是发现每一次发送给后台的请求当中,sessionID都是不一样的,那么原因是什么呢?查阅度娘之后,发现自己封装的axios配置文件当中,缺...

  因为我用的是vue-resource插件,所以在每次跨域请求后台时都是一个新的session,所以后来处理session的时候,每次获取的值都是null要保持一致,需要做一些配置:java后台:后台在...

  ajax跨域请求(携带cookie)一般而言,对于跨域XMLHttpRequest或Fetch请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,需要设置XMLHttpRequest的某个特殊标志位...

  使用的是全志H3的芯片,运行Debian Desktop系统的ARM版本Armbian,要控制外部几个IO口,可以使用很多种方法,如果对GPIO的操作速度有要求就需要使用直接操作内存寄存器的方式来控制...

  1.当我们发现无法联网时,我们运行下面命令或者ping命令rnip  addrrnrn结果没有显示局域网的IP地址rn2.我们去修改网卡配置文件,把网络连接打开rncd /rncd  /etc/sys...

  还记得去年在北京安博会上,看到一些厂家的展示台上,各种船舶、公路、车辆的高清视频直播,好奇这些数据是怎么接到现场的,现场成百上千家展台,不可能有那么大的带宽供应,细想数据肯定不是实时的,果然,盯着看了...

  Babosa的专栏jquery/js实现一个网页同时调用多个倒计时(最新的)

  jquery/js实现一个网页同时调用多个倒计时(最新的)nn最近需要网页添加多个倒计时. 查阅网络,基本上都是千遍一律的不好用. 自己按需写了个.希望对大家有用. 有用请赞一个哦!nnnn//jsn...

  上一篇博客介绍了如何解决Fragment重叠的问题,有需要的同学可以看一下,底部有demo下载。 n直通车:完美解决Fragment重叠本篇博客我们来说一下怎么让fragment重新加载布局资源文件。...

  weixin_44816952:你这篇文章写得比较务实,你看看你上面那两篇写的什么玩意,都不知道要表达什么

  slliu1996:博主,写的非常好理解,感谢!! 另外,有个问题想请教一下博主,比如我对一个N行的数据列用MD5算法做哈希编码,产生M列哈希后的数据,那么如果我把这个数据列一分为二,每一份都是N/2行,然后分别对这两个部分的数据都同样用MD5算法做哈希,也都得到M列哈希后的数据,然后再重新合并成N行,请问这两种情况下,得到的哈希后的数据会一样吗?

本文链接:http://darwinsucks.com/yunxuzhonghua/162.html