• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    URL中允许携带sessionid带来的安全隐患分析

    图示:

       下图是从测试组发来的安全报告中剪出来的,图有些小问题,本来想重画1个,在visio中没找到合适的图。所以只能用别人的图了。

           

     

    说明:   

      让我们对上图的步骤进行详细说明:   

      1. 黑客用自己的帐号登录,假设登录页面是:http://www.abc.com/login.jsp   

      2. 服务器返回登录成功。   

      3. 黑客从cookie中查看自己的sessionid,比如是1234   

      4. 黑客把带自己sessionid的地址发送给一般用户。http://www.abc.com/login.jsp;jsessionid=1234(不同的语言带sessionid的方式不一样,着是jsp的方式)   

      5. 用户在黑客给的地址中用自己的帐号进行登录,登录成功。(这个时候用户登录的信息就会覆盖黑客之前的登录信息,而且2个人用的是同1个sessionid)   6. 黑客刷新页面,看到的账户信息就是用户的信息了,而不是之前黑客自己帐号的信息。

     

    防治:  

      要防止这种问题,其实也很简单,只要在用户登录时重置session(session.invalidate()方法),然后把登录信息保存到新的session中。

     

    后语:  

      可能你跟我一样,刚开始看到这个时候,就自己去测试到底能不能钓鱼成功,经过我的测试是可以成功的,但测试过程中需要注意下面几个问题:  

      1. 要注意你使用的语言是如何在URL中带sessionid。(我测试的时候开始在URL中使用大写的jsessionid,导致一直不起效)    

      2. 要http://www.abc.com/login.jsp;jsessionid=1234页面登录表单的action也带上了jsessionid,不然也没用。对于这个问题你可能觉得如果login.jsp表单的action是写死,而不是读取当前URL的,     可能就不会出现这个钓鱼问题。这只能防住1个方向。黑客可以做1个和login.jsp一模一样的页面(比如http://www.abc1.com/login.jsp),然后把这个地址发个客户,而这个地址中的表单这样写就可以:   form action="http://www.abc.com/login.jsp;jsessionid=1234" ....
    [作者]:BearRui(AK-47)
    [博客]: http://www.cnblogs.com/BearsTaR/

    您可能感兴趣的文章:
    • 2个页面间不通过Session与url的传值方式
    • php通过session防url攻击方法
    • 使用URL传输SESSION信息
    上一篇:asp.net getRemoteAddr()与 getRemoteHost()的区别
    下一篇:java获得指定日期的前一天,后一天的代码
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    URL中允许携带sessionid带来的安全隐患分析 URL,中,允许,携带,sessionid,