Java session sécurisée

Chaque fois que vous authentifier, votre application doit changer l'identifiant de la session qu'il utilise. Cela permet d'empêcher quelqu'un de mettre en place une session, la copie de l'identifiant de session, puis incitant un utilisateur à l'aide de la session. Parce que le pirate sait déjà que l'identifiant de session, ils peuvent l'utiliser pour accéder à la session après que l'utilisateur se connecte, en leur donnant un accès complet. Cette attaque a été appelé "fixation de session", entre autres choses. Comment puis-je changer l'id de session une fois le login de l'utilisateur pour le système ?

InformationsquelleAutor | 2009-07-22
  1. 9

    Vous êtes encore sur le serveur pendant que vous invalider la session.

    //get stuff out of session you want before invalidating it.
currentSession = request.getSession(true);
UserProfile userProfile = (UserProfile) currentSession.getAttribute("userProfile");

//now invalidate it
currentSession.invalidate();

//get new session and stuff the data back in
HttpSession newSession = request.getSession(true);
newSession.setAttribute("userProfile", userProfile);
    InformationsquelleAutor Brian
  2. 2

    Obtenir l'existant; l'invalider; en créer un nouveau ...

    1) Obtenir de la Session en cours avec HttpServletRequest.getSession();

    2) Effacer la Session HttpSession.invalidate();

    3) Créer un nouveau: HttpServletRequest.getSession(true);

    • Si j'en utilisant cette méthode, une fois le login de l'utilisateur, il doit d'abord se déconnecter afin de régénérer l'id
    • comme blowdart a déclaré: "eh Bien, alors que c'est une limitation du framework que vous utilisez, j'ai peur." Pouvez-vous donner un code-exemple de votre processus d'authentification? Cela peut vous aider.
    InformationsquelleAutor Henrik
  3. 2

    Parler en général (parce que ce n'est pas un Java problème à tous, c'est un web en général problème) de fixation de session se pose lorsque l'Id de session sont facile à découvrir, ou de deviner. La principale méthode d'attaque est lorsque l'ID de session est dans l'URL d'une page, par exemple http://example.com/index?sessionId=123. Un attaquant pourrait configuration de la capture d'une session, et ensuite intégrer le lien de leur page, incitant un utilisateur à visiter et de devenir une partie de leur session. Ensuite, lorsque l'utilisateur s'authentifie la session est authentifié. Les mesures d'atténuation pour ce qui est de ne pas utiliser l'URL en fonction des Identifiants de session, mais au lieu d'utiliser des cookies

    Certaines applications web va utiliser un cookie de session, mais est définie à partir de l'URL initiale, par exemple en visitant http://example.com/index?sessionId=123 permettrait de voir l'id de session dans l'url, puis créer un cookie de session à partir d', un réglage de l'identifiant dans le cookie de session à 123. Les mesures d'atténuation pour ce qui est de générer des identifiants de session sur le serveur sans utiliser la saisie de l'utilisateur comme une graine dans le générateur.

    Il y a aussi le navigateur basé sur les exploits où un mal codé navigateur accepte cookie création pour les domaines qui ne sont pas du domaine d'origine, mais il n'y a pas beaucoup que vous pouvez faire à ce sujet. Et Cross Site Scripting attaques où vous pouvez envoyer une commande de script dans l'attaqué site pour définir le cookie de session, qui peut être atténué par la mise en au cookie de session HTTP_ONLY (bien que Safari ne permet pas en l'honneur de ce drapeau)

    Pour Java la recommandation générale est

    session.invalidate();
session=request.getSession(true);

    Cependant à un point sur JBoss ce n'était pas le travail - si vous avez besoin de vérifier cela fonctionne comme prévu à l'intérieur de votre cadre choisi.

    • J'ai essayer d'utiliser cette méthode, mais l'utilisateur sera déconnexion de session.invalidate() est appelée
    • Eh bien c'est une limitation du framework que vous utilisez, j'ai peur.
    • je suis en utilisant jsf et tomcat, j'ai obtenu de toute autre méthode pour résoudre le problème?
    • Même l'OWASP page a un effet anti-fixation fix uniquement pour les ASP
    • Bien avec ASP.NET ce n'est pas tant de s'inquiéter, car le processus d'authentification est généralement séparée de la session. Sauf si vous avez roulé votre propre. Je suppose que JSF stocke les informations d'authentification dans la session qui est pourquoi l'affiche originale est l'établissement qu'il a perdu lors de la régénération des séances, mais je ne sais rien à propos de cette plate-forme.
    • ok merci pour votre réponse
    • Cela sonne plus comme il n'est pas l'économie de sa session d'information avant qu'il met à néant. Qui a naturellement semblent être une déconnexion, puisque toutes les infos de l'utilisateur seront perdus. Voir ce que Brian a dit à propos de l'enregistrement des trucs en premier. Et depuis qu'il a refusé de publier le code lorsque Clément demandé, personne ne pouvait l'aider.

    InformationsquelleAutor blowdart
  4. 0

    Invalider la session en cours et d'obtenir une nouvelle session:

    //invalidate the current session
request.getSession().invalidate();
/*
get another session and get the ID (getSession()) will create a session if one does not exist
*/
request.getSession().getId();
    InformationsquelleAutor Brian