个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
25
4
在我的 web.xml 中,我为一些资源定义了一个用户数据约束:
<security-constraint>
<web-resource-collection>
<web-resource-name>Personal Area</web-resource-name>
<url-pattern>/personal/*</url-pattern>
</web-resource-collection>
<web-resource-collection>
<web-resource-name>User Area</web-resource-name>
<url-pattern>/user/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
我认为这是一个漏洞?还是我配置错误?
我看到的问题如下:在使用 cookie ID1 通过 HTTP 浏览时,有一个攻击者正在监听我的网络流量。他“窃取”了我的 cookie ID1。现在我切换到 HTTPS,我的 cookie 仍然是 ID1。我登录。然后攻击者能够接管我的 session ,因为他知道我的 cookie...
最佳答案
如果是最新版本的 Tomcat,您可能没有问题。但是,这取决于您检查与 session 关联的 SSL ID。这可以使用诸如
之类的代码String sslId = (String) req.getAttribute("javax.servlet.request.ssl_session");
(请注意,属性键将来可能会更改为 javax.servlet.request.ssl_session_id - 作为 Servlet 的一部分3.0 规范)。
我使用以下 doGet 方法设置了一个 servlet:
protected void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
HttpSession session = request.getSession(true);
String sid = session.getId();
String sslId = (String) request.getAttribute(
"javax.servlet.request.ssl_session");
String uri = request.getRequestURI();
OutputStream out = response.getOutputStream();
PrintWriter pw = new PrintWriter(out);
HashMap<String, Object> secrets;
Object secret = null;
Object notSecret;
Date d = new Date();
notSecret = session.getAttribute("unprotected");
if (notSecret == null) {
notSecret = "unprotected: " + d.getTime();
session.setAttribute("unprotected", notSecret);
}
secrets = (HashMap<String, Object>) session.getAttribute("protected");
if (secrets == null) {
secrets = new HashMap<String, Object>();
session.setAttribute("protected", secrets);
}
if (sslId != null) {
if (secrets.containsKey(sslId))
secret = secrets.get(sslId);
else {
secret = "protected: " + d.getTime();
secrets.put(sslId, secret);
}
}
response.setContentType("text/plain");
pw.println(MessageFormat.format("URI: {0}", new Object[] { uri }));
pw.println(MessageFormat.format("SID: {0}", new Object[] { sid }));
pw.println(MessageFormat.format("SSLID: {0}", new Object[] { sslId }));
pw.println(MessageFormat.format("Info: {0}", new Object[] { notSecret }));
pw.println(MessageFormat.format("Secret: {0}", new Object[] { secret }));
pw.println(MessageFormat.format("Date: {0}", new Object[] { d }));
pw.close();
}
然后,我使用 Firefox 和 Live HTTP Headers 扩展调用了一个合适的未 protected URL,以获取 session cookie。这是我导航到时发送的响应
http://localhost:8080/EchoWeb/unprotected
(我的 web.xml 和你的一样,只保护/user/* 和/personal/*):
URI: /EchoWeb/unprotectedSID: 9ACCD06B69CA365EFD8C10816ADD8D71SSLID: nullInfo: unprotected: 1254034761932Secret: nullDate: 27/09/09 07:59
Next, I tried to access a protected URL
http://localhost:8080/EchoWeb/personal/protected
而且,正如预期的那样,我被重定向到
https://localhost:8443/EchoWeb/personal/protected
响应是
URI: /EchoWeb/personal/protectedSID: 9ACCD06B69CA365EFD8C10816ADD8D71SSLID: 4abf0d67549489648e7a3cd9292b671ddb9dd844b9dba682ab3f381b462d1ad1Info: unprotected: 1254034761932Secret: protected: 1254034791333Date: 27/09/09 07:59
Notice that the cookie/session ID is the same, but we now have a new SSLID. Now, let's try to spoof the server using the session cookie.
I set up a Python script, spoof.py:
import urllib2
url = "https://localhost:8443/EchoWeb/personal/protected"
headers = {
'Host': 'localhost:8080',
'User-Agent': 'Mozilla/5.0 (Windows; U; Windows NT 6.1; en-GB; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
'Accept-Language': 'en-gb,en;q=0.5',
'Accept-Charset': 'ISO-8859-1,utf-8;q=0.7,*;q=0.7',
'Cookie' : 'JSESSIONID=9ACCD06B69CA365EFD8C10816ADD8D71'
}
req = urllib2.Request(url, None, headers)
response = urllib2.urlopen(req)
print response.read()
现在,您不需要了解 Python,尤其是 - 我只是尝试向 Cookie 中具有相同 session ID 的(不同的) protected 资源发送 HTTP 请求。这是我运行我的欺骗脚本两次时的响应:
C:\temp>spoofURI: /EchoWeb/personal/protectedSID: 9ACCD06B69CA365EFD8C10816ADD8D71SSLID: 4abf0eafb4ffa30b6579cf189c402a8411294201e2df94b33a48ae7484f22854Info: unprotected: 1254034761932Secret: protected: 1254035119303Date: 27/09/09 08:05C:\temp>spoofURI: /EchoWeb/personal/protectedSID: 9ACCD06B69CA365EFD8C10816ADD8D71SSLID: 4abf0eb184cb380ce69cce28beb01665724c016903650539d095c671d98f1de3Info: unprotected: 1254034761932Secret: protected: 1254035122004Date: 27/09/09 08:05
请注意,在上面的响应中,在第一个未 protected 请求中设置的 session 数据(时间戳为 1254034761932 的值)已在整个过程中发送,因为 Tomcat 使用相同的 session 因为 session ID 相同。这当然不安全。但是,请注意 SSL ID 每次都不同,如果您使用 那些 键入您的 session 数据(例如如图所示),您应该是安全的。如果我刷新我的 Firefox 选项卡,响应如下:
URI: /EchoWeb/personal/protectedSID: 9ACCD06B69CA365EFD8C10816ADD8D71SSLID: 4abf0d67549489648e7a3cd9292b671ddb9dd844b9dba682ab3f381b462d1ad1Info: unprotected: 1254034761932Secret: protected: 1254034791333Date: 27/09/09 08:05
请注意,SSLID 与之前的 Firefox 请求相同。因此,服务器可以使用 SSL ID 值区分 session 。请特别注意,“ protected 数据”对于从 Firefox session 发出的每个请求都是相同的,但对于每个欺骗 session 都不同并且也不同于 Firefox session 。
关于java - 如何防止tomcat session 劫持?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1422977/
25
4
0
我有一个应用程序,其中许多对象都扩展了一个抽象类,该抽象类定义了诸如 create() edit() retrieve() 和 delete()。由于每个子类对这些函数使用相同的逻辑,抽象类定义了默认
我正在使用$anchorScroll滚动到页面顶部,其中 html 元素具有 ID #brand。 AngularJS 代码: $location.hash(
我想停用我的应用程序中的右键单击,该右键单击提供了在桌面上安装应用程序的选项。我该如何做这样的事情? 最佳答案 右键单击 Visual Studio 中的项目并选择属性。那里有一个复选框“启用浏览器运
我使用 jquery 定位 div,在我的 CSS 中我有一个 div.right-sm:hover{background-color: blue} 我想使用 jquery 停止悬停: $(this
所以,我正在尝试复制 html5“占位符”属性功能。 我目前坚持的一件事是,在获得元素焦点时,插入符号立即出现在输入的开头。 就目前情况而言,插入符号出现在用户单击的位置,然后当我使用 jQuery
当表单填写并发送时,如果您刷新页面,它表示表单将再次发送。 (再次提交表格)。 防止这种情况发生的好方法是什么?或者终止这个 session ? 这方面有什么指导吗? 谢谢 最佳答案 处理完POST信
我想阻止 @ 被输入到 input 中。但它不起作用,知道为什么吗? $(function() { $(document).on('keyup', '[placeholder="x"]', fun
我正在使用 PHP 创建一个应用程序并涉及 MySQL。如果在请求过程中发生错误,我将如何“将查询分组在一起”,检查它是否会成功,然后对真实表进行实际影响。如果对表的实际更新失败,则恢复到更新之前的状
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: Best Java obfuscator ? 对于我的示例,我知道 eclipse 提供了一个反编译插件。而
这是一个演示我的问题的 fiddle :JSFiddle 我正在制作自定义下拉菜单(实际上我使用的是 icomoon 图标而不是 V)...它看起来不错,但是父元素的 ::after 是阻止选择:(
每当我编写需要大量条件的代码时,我都会这样做: if foo: if bar: if foobar: if barfoo: if foobarfoo:
我不确定术语是否正确,您可以使用哪些代码实践来使某人难以修改二进制文件/程序集以绕过检查: 例如在源代码中。 bool verificationResult = verify(); if (verif
我正在寻找一种简单的方法来检查多个零件表,以确定给定零件号在添加到给定表之前是否已经存在。 我目前想到的最好的想法是一个辅助表,它简单地将所有表中的每个 PN 列在一个列中,并带有一个唯一的键;但是我
这个问题在这里已经有了答案: jquery stop child triggering parent event (7 个答案) 关闭 8 年前。 我不确定这是否真的冒泡,我会解释。 我有这个:
我有一个 Spring MVC web 应用程序(不确定该信息是否重要,但它可能是)使用 ModelAndView 将字符串值传递给 JSP 文件。 字符串值的形式是: d@.
我在这里尝试使用表单 key 方法进行 csrf 保护 http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/
htmlentities 是防止 PHP 中的 XSS 的最佳解决方案吗?我还想允许像 b、i、a 和 img 这样的简单标签。实现这一点的最佳解决方案是什么?我确实考虑过 bbcode,但发现如果没
我有一个非常基本的 JAX-RS 服务(下面的 BookService 类),它允许创建 Book 类型的实体(也在下面)。 POST负载 { "acquisitionDate": 14188
我正在使用 Polymer 1.5,我确实需要“this”变量不要映射到外部。我知道 typescript 会为某些人做这件事 valid reasons . declare var Polymer:
这个问题在这里已经有了答案: Class-level read-only properties in Python (3 个答案) 关闭 6 年前。 有没有一种方法可以通过重写实例变量的 __set
我是一名优秀的程序员,十分优秀!