quelle est la vulnérabilité d'avoir Jsessionid lors de la première demande seulement
Récemment, nous avons retiré jsessionid à partir de l'URL n'cookies de session sur la gestion des pour prévenir "détournement de session attaque"
Mais nous avons constaté que la première demande d'URL a toujours jsessionid lorsque les cookies sont activés et la demande subséquente de l'URL n'a PAS de jsessionid.
à l'aide de la jsessionid de la première url, nous pourrions directement frapper d'autres pages dans le flux de travail
Question : quelle est la vulnérabilité de la sécurité de l'exposer jsessionid uniquement sur la première demande?
Il y a une solution pour supprimer jsessionid à partir de la première demande , mais je voulais vérifier si c'est vraiment vulnérable à la mandat les changements
merci
J
EDIT : j'ai eu mes doutes éclaircis. Merci pour les réponses.
OriginalL'auteur Jenga Blocks | 2011-01-18
Vous devez vous connecter pour publier un commentaire.
Ce que vous avez fait ici pourrait améliorer la sécurité globale de la solution quelque peu, mais n'est pas nécessairement empêcher le détournement de session.
la question de la sécurité avec la mise en place de l'ID de session dans l'URL, c'est que les URLs sont exposés dans différents endroits (par exemple, copier et coller des Url pourrait exposer une session live, les Url peuvent être stockées dans le serveur proxy journaux, journaux de serveur web et le navigateur de l'histoire), ce qui pourrait permettre à un attaquant de prendre un ID de session valide et avoir accès à vos utilisateurs de données.
Idéalement, vous devez supprimer le JSESSIONID à partir de l'URL dans tous les lieux, et seulement utiliser un cookie de stockage.
De plus, si vous voulez mitiate détournement de Session, il y a un certain nombre d'autres domaines à considérer.
Vous avez besoin pour utiliser SSL sur toutes les pages où l'ID de session est passé (c'est pour atténuer le risque de l'ID de session intercepté en cours de transport (par exemple, la Firesheep attaque).
Si l'ID de session est définie avant de vous authentifier l'utilisateur, vous devez vous assurer qu'un nouvel ID de session est émis lorsque l'utilisateur se connecte.
Également, si possible, les cookies de session doit être l'utilisation de la httpOnly et de sécuriser les drapeaux, pour réduire le risque de fuite clair canaux.
Il y a du bon des renseignements supplémentaires sur les OWASP Site
BTW, si vous avez plus de question sur la sécurité côté des choses, il y a une pile de site d'échange spécifiquement à Security.stackexchange.com
OriginalL'auteur Rоry McCune
Quoi arrêter le cookie a été détourné?
Session de gestion est une chose côté serveur - Vous besoin de serveur pour vérifier (sur la base du cookie) que l'utilisateur est destiné à être connecté.
Je ne pense pas que vous avez amélioration de la sécurité à tous pour être honnête, prendre un coup d'oeil à cet excellent article de voir pourquoi.
Il n'a pas plus d'un mauvais effet que l'utilisation des cookies - je sérieusement en question ces exigences
Ouais, tout aussi vulnérables . mais nous allons aborder le détournement de session prochaine version . l'amélioration globale de la sécurité est notre objectif pour l'instant. Mon post initial était un peu trompeur cependant
Non, ils ne sont pas également vulnérables. Ayant l'id de session dans l'URL peut être un problème, même si le site est sur le protocole SSL. L'attaquant peut créer une URL avec un prédéfini id de session, et de tromper l'utilisateur (par l'intermédiaire de raccourcissement d'url sur twitter, etc.) pour visiter l'url. Maintenant, la victime obtient une session où l'id de session est connu de l'attaquant. Aussi les Url sont enregistrées dans l'historique du navigateur, les procurations, etc. Les Cookies ne sont pas.
décrit fixation de session. Si votre application accepte un JSESSIONID dans l'url et vous ne pas faire des vérifications supplémentaires (comme la vérification de l'ip), sont vulnérables. La Servlet 3.0 spec a un <suivi de la mode>BISCUITS</suivi-mode> afin d'assurer la JSESSIONID est seulement utilisé comme un cookie. La spécification recommande même de ne pas permettre JSESSIONID dans l'url.
OriginalL'auteur m.edmondson
Si quelqu'un les récupère l'id de session, puis ils joli beaucoup de détourner l'ensemble de la session, voir Prévisible Id De Session vulnérabilité.
Selon l'article, oui.
Merci . En fait je l'ai fait essayer un mode multi-utilisateurs où j'ai tiré jsessionid de la première requête de l'URL et de la session de données étaient disponibles pour les utilisateurs multiples avec le même jsessionid. thx J
OriginalL'auteur ismail