Session 相关

2020-07-27  本文已影响0人  wanggs

作用

图解

image.png
image.png
image.png

会话固定攻击

会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。

攻击修复

攻击的整个过程,会话ID是没变过的,所以导致此漏洞。

        User user = userService.findById(id);
        //若存在会话则返回该会话,否则返回NULL
        HttpSession session = request.getSession(false);
        if (session != null) {
            session.invalidate();
        }
        //request.getSession(true):若存在会话则返回该会话,否则新建一个会话。
        request.getSession(true).setAttribute("user", user);
        return user;
上一篇下一篇

猜你喜欢

热点阅读