上一篇說到《Spring MVC防御CSRF、XSS和SQL注入攻擊》，今天說說SessionID帶來的漏洞攻擊問題。首先，什么是Session Fixation攻擊和Session Hijacking攻擊問題? 說來話長，非常具體的解釋查看我這個(gè)pdf文件：《Session Fixation Vulnerability in Web-based Applications》。為什么會注意到這個(gè)問題？其實(shí)原來也知道session劫持的問題，但沒有注意，這幾天用IBM Ration AppScan掃描了web漏洞，發(fā)現(xiàn)一個(gè)嚴(yán)重的Session Fixation漏洞:"會話標(biāo)識未更新。針對這個(gè)問題的解決方案: 始終生成新的會話，供用戶成功認(rèn)證時(shí)登錄。防止用戶操縱會話標(biāo)識。issue a new JSESSIONID cookie after login。請勿接受用戶瀏覽器登錄時(shí)所提供的會話標(biāo)識。" 原來，用戶訪問我們的登錄頁面，Tomcat就會生成一個(gè)SessionID，加密后放到用戶瀏覽器Cookie中。當(dāng)用戶登錄后，這個(gè)SessionID并沒有改變。更加糟糕的是，每次在同一臺機(jī)器上，都使用同一個(gè)SessionID。這就造成了嚴(yán)重的Session Fixation和Session Hijacking漏洞。其實(shí)，如果Tomcat啟用了SSL，Tomcat的默認(rèn)行為是：當(dāng)用戶通過登錄后，生成一個(gè)新的SessionID。如果沒有配置SSL，手動讓Tomcat生成新的SessionID的方法是：

/*
?*?Authenticate,?first?invalidate?the?previous?Tomcat?sessionID?immediately
?*?This?step?is?only?required?when?NO?SSL?of?Tomcat?is?applied!
?*/
if?(session!=null?&&?!session.isNew())?{
????session.invalidate();
}
/*
?*?Create?the?sessionID?
?*?Actually?if?deploy?this?web?site?in?Tomcat?by?SSL,?by?default?a?new?SessionID?will?be?generated?
?*?
?*?*/?
HttpSession?session?=?getRequest().getSession(true);

在后臺登陸邏輯中，登陸前生成新的SessionID。

另外可以采用下面的CheckList：

• 查看sessionID生成策略，確保不可被猜測（Tomcat沒問題）
• 查看sessionID保存策略，確保不通過URL進(jìn)行傳遞（通過URL傳遞的SessionID禁不起安全測試）
• 每次登錄更換sessionID（已解決，事實(shí)上Tomcat在SSL下默認(rèn)也是這樣）
• Session Cookie 設(shè)置HttpOnly（Tomcat沒問題）
• Session Cookie 設(shè)置，特別是用戶IP, UserAgent...等更改強(qiáng)制session過期需要重新登錄（備用，防止Session保持攻擊）

Session Fixation攻擊

舉一個(gè)形象的例子，假設(shè)A有一輛汽車，A把汽車賣給了B，但是A沒有把鑰匙都交給B，自己還留了一把。這時(shí)候如果B沒有換鎖的話，A還是可以打開B的車的。在網(wǎng)站上，具體的攻擊過程是：攻擊者X首先獲取一個(gè)未經(jīng)認(rèn)證的SessionID，然后把這個(gè)SessionID交給用戶Y去認(rèn)證，Y完成認(rèn)證后，服務(wù)器并未更新此SessionID的值（注意是未改變SessionID，而不是Session），所以X可以直接憑借此SessionID登錄進(jìn)Y的賬戶。X怎么拿到SessionID的？常用的方法有Xss攻擊（如果設(shè)置HttpOnly此方法無效）、網(wǎng)絡(luò)Sniff、本地木馬竊取、網(wǎng)絡(luò)嗅探等。解決Session Fixation攻擊的辦法就是在登錄完成后，重新生成不可以猜測的SessionID。

ASP.NET的解決Session Fixation和Session Hijacking的問題

ASP.NET的解決Session Fixation和Session Hijacking的問題可以看這個(gè)和這個(gè)帖子。

?

總結(jié)

以上是生活随笔為你收集整理的Tomcat的SessionID引起的Session Fixation和Session Hijacking问题的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。