Printemps de Sécurité de session-session de gestion de fixation et la protection ne fonctionne pas

Je suis à l'aide de Printemps 3.1 Sécurité. Voici la partie de mon "spring-security.xml"

<session-management session-fixation-protection="migrateSession">
<concurrency-control max-sessions="1" expired-url="/Login.html"/>
</session-management>

Si j'ai mis session-fixation-protection="migrateSession" encore si je me suis connecté à l'aide de "Chrome", puis copier valeur du cookie et ouvrir un "Navigateur Firefox" et accédez à la page de connexion, puis modifier le cookie et de le coller la valeur de "Chrome", puis je vois que je suis connecté sur mon application. Que signifie "attaque de fixation de session", c'est possible !!!

Ai-je raté quelque chose dans mon printemps de sécurité config ?

C'est juste mon cofig fichier

<http auto-config="false" access-denied-page="/" disable-url-rewriting="true">

<intercept-url pattern="/test01*" access="ROLE_USER" requires-channel="https"/>
<intercept-url pattern="/test02*" access="ROLE_USER" requires-channel="https"/>

<form-login login-page="/Login.html"/>
<logout invalidate-session="true"
        logout-success-url="/"
        logout-url="/logout"/>


<session-management session-fixation-protection="migrateSession">        
    <concurrency-control max-sessions="1" expired-url="/Login.html"/>
</session-management>

</http>

<authentication-manager>
<authentication-provider>
<user-service>    
<user name="a" password="a" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
</authentication-manager>

Akash, Avez-vous écrit UserPrincipal et UserPrincipalImpl classes?
nop je n'ai pas écrit UserPrincipal et UserPrincipalImpl classes.
Post une certaine partie de votre code, afin que nous puissions vous aider
Comme je l'ai dit ci-dessous, vous devez avoir un seul <session-management> élément, mais c'est une autre question.

InformationsquelleAutor Akash. | 2012-05-17

spring spring-security

8

Si vous avez copié le cookie après vous vous êtes connecté (comme vous l'avez dit), alors ce n'est pas une session-attaque de fixation (au moins pas de la sorte, nous nous protégeons contre). Le point est que le témoin des changements lorsque vous vous connectez, de sorte que personne d'autre ne peut accéder à votre compte. Si vous voulez arrêter quelqu'un de la fixation d'une session qui est déjà connecté à son compte, alors que c'est une question différente et n'est pas quelque chose qui peut facilement être protégés contre de cette façon.

Aussi, vous ne devriez pas avoir besoin de définir cet attribut est activé par défaut. Et il suffit d'utiliser une <session-management> élément.
- Salut, Merci pour votre réponse.Je vérifiais le livre "le Printemps de Sécurité 3" par Peter Mularien. Et dans ce livre, "Chapitre 6" à la Page 173 il a réalisé "la Simulation d'une attaque de fixation de session". J'ai juste fait même comme il l'a fait (Ce que j'ai expliqué dans mon post). Mais il dit que sa marche mais mon projet ne fonctionne pas 🙁
- Lire de nouveau - "Copier le cookie de session de la valeur dans le presse-papiers, puis connectez-vous" ... Il copie les cookies de Internet Explorer avant de la connexion. Vous avez dit que vous vous êtes connecté, puis copié le cookie. Il suffit de vérifier si le cookie de session change lorsque vous vous connectez.
- 😀 Luc, vous avez raison. Il est en train de changer. Merci de ton homme. Mais est-il possible de prévenir cette copie passé cookie après la connexion.
- Pas de. Mais il n'est pas réaliste d'attaque. Vous ne devriez pas permettre à quelqu'un l'accès à des cookies de votre navigateur de la liste alors que vous êtes connecté. Et vous devez utiliser le protocole HTTPS pour protéger le cookie de session comme il est transporté sur le réseau.
InformationsquelleAutor Shaun the Sheep
1

C'est à cause que vous avez fourni, session-fixation-protection="migrateSession". C'est la session de navigateur google Chrome est copié dans le navigateur Firefox de la session. Aussi, il est de journalisation dans la 2ème fois en même temps qui ne le devrait pas. Ce pourrait être parce que, si vous avez fourni votre propre UserPrincipal et UserPrincipalImpl les classes, vous devez remplacer l'Objet du equals() et hashCode() méthodes. Essayer de prendre le contrôle de simultanéité de travail.

Également consulter ma question.
- Bonjour merci pour votre réponse. J'ai vérifié vous thread où vous avez eu de problème concernant la simultanéité de contrôle du même temps une connexion de l'utilisateur. Mais ce n'est pas mon problème. Il fonctionne pour moi. Mon problème est avec la session de fixation et la protection, même si j'ai mis "newSession" toujours le même problème. Pouvez copier passé cookie et elle travaille dans un autre navigateur 🙁
- non, ce n'est pas l'attaque de fixation de session. Les deux sessions sont différentes, et une nouvelle session est migré vers un vieux. Vous êtes connecté deux fois où vous devriez être en mesure de se connecter une seule fois. Donc le problème est dans la simultanéité de sessions
- veuillez vérifier mon plein printemps-fichier de configuration de code. Quoi d'autre que je dois faire pour l'en empêcher. Par la façon dont j'ai essayé de vous connecter en utilisant le même compte d'utilisateur à partir de différents navigateurs. Et d'abord, on est allé à l'écart lors de la deuxième fois connecté. Alors seulement la 2ème tentative est active. Mais lors de la copie passé cookie après la connexion, puis peut être en même temps un même utilisateur dans les différents navigateur 🙁
InformationsquelleAutor Nandkumar Tekale

Vous devez vous connecter pour publier un commentaire.