Session Hijacking 会话劫持和 Session Fixation 会话固定

Session Java About 418 words

Session 的窃取

盗用SessionID(对于Java Tomcat而言就是CookieJSESSIONID的值),实现身份伪装。

防御策略

  • 部署HTTPS防止SessionID被窃取。
  • 设置HttpOnly属性防止XSS攻击。
  • 客户端发生变化时,要求用户重新登录。例如使用User-AgentIP地址、MAC地址等检测请求的一致性,并且加入Token进行检验。
  • 只接受服务器生成的SessionID
  • 设置会话超时属性,设定阈值强制会话过期。(如Keycloak默认Session最大维持时间为10小时)

补充

Java环境下SessionID都是由服务端生成的。只要不把JSESSIONID从浏览器的开发者工具中拷贝复制出来给到他人就不会出现问题。

现代浏览器同样不能跨站访问Cookie

相关链接

https://owasp.org/www-community/attacks/Session_fixation

Views: 226 · Posted: 2024-01-20

————        END        ————

Give me a Star, Thanks:)

https://github.com/fendoudebb/LiteNote

扫描下方二维码关注公众号和小程序↓↓↓

扫描下方二维码关注公众号和小程序↓↓↓


Today On History
Browsing Refresh