最近做的一个springboot项目 + shiro框架,在做安全漏洞检查时爆出了一个安全漏洞:会话标识未更新。用的扫描工具是IBM的AppScan。
要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。
一般的解决方法如下:
publicvoidlogin(HttpServletRequestrequest, ...){ // 让旧session失效request.getSession(true).invalidate(); //登录验证 }
还有一种方案:
在登录页面上加上一段代码:request.getSession().invalidate();//清空sessionCookiecookie=request.getCookies()0;//获取cookiecookie.setMaxAge(0);//让cookie过期
然后用户再输入信息登录时,就会产生一个新的session了。
--------------------------------------------------------------------------------------------------------
但是,如果使用了shiro框架,这样做会报错:...httpSession has been already invalidated。原因是shiro对HttpSession进行了一层包装,你直接让原生的session失效,没有通知shiro,shiro再去使用session时就会报错了。
最终的解决方法,不要使用原生的失效方法,而是使用shiro自己提供的api方法:
SecurityUtils.getSubject().logout();
最终方案如下:
publicMap<String, Object>login(HttpServletRequestrequest, Stringusername, Stringpassword) { // 让旧session失效,这一句代码一定要放在登录验证的最前面SecurityUtils.getSubject().logout(); // 登录验证 ...... }
本次针对 Appscan漏洞 会话标识未更新进行总结,如下:
1.1、攻击原理
在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。
1.2、APPSCAN测试过程
AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞。
1.3、修复建议(目前只是Apache Shiro安全框架下的修复建议)
若使用的是Apache Shiro安全框架,可使用SecurityUtils.getSubject().logout()方法,参考:http://blog.csdn.net/yycdaizi/article/details/45013397
本文首发于CSDN,为博主原创文章,如果需要转载,请注明出处,谢谢!
完结!
