问题标签 [session-fixation]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
spring-security - Spring Security 3.2 CSRF Token - 通过拦截POST请求修改post参数时如何保护?
我是 Spring Security 的新手;在教程的帮助下,我可以设置内存身份验证和 CSRF 令牌。这很好用;用户通过身份验证并生成令牌。
问题:当我使用 fiddler 拦截我自己的表单发布、修改 POST 参数并执行 HTTP POST 请求时,它成功提交了带有 200 OK 代码的请求。在这种情况下,我期待 403。
我认为实现此目的的一种解决方案是为每个请求而不是每个会话生成令牌。但是这种方法有它自己的问题。
您能否建议更好的方法来防止这种情况?另外,上述场景是否演示了会话固定攻击?
此致,
php - Joomla 2.5 中的会话固定
这可能导致的影响:可能会窃取或操纵客户会话和 cookie,它们可能被用来冒充合法用户,允许黑客查看或更改用户记录,并以该用户身份执行交易。
防止会话固定攻击的推荐解决方案是在用户登录时更新会话 ID。此修复可以在代码级别或框架级别完成,具体取决于实现会话管理功能的位置。
我正在尝试解决这个问题,但我仍然没有成功。任何人都可以帮助如何在 Joomla 2.5 中解决这个问题?
我想在框架级别实现此修复。任何帮助将不胜感激。
php - php session.use_cookies 和会话固定攻击
我看过这篇文章,但我不明白使用这段代码
是否容易受到会话固定攻击:
我的页面.php
我只使用这个代码,我没有使用 URL 参数或任何其他东西,那么
这个代码是否容易受到 php session fixation 攻击?如果是,如何?我不是 php 专家。
你能发布一个攻击的例子吗?
security - 会话固定 我安全吗?
我正在尝试为我的项目实施安全性以防止会话固定。
由于我无法访问处理整个会话创建和验证的组件(来自某个库的过滤器,我们称之为 MagicFilter),因此我试图找出另一种可能的方法。
现在,为我的会话考虑这个场景:
- 用户请求登录页面
- MagicFilter 使用 JSESSIONID 等设置 cookie
- 其他过滤器做一些工作......
- Java Spring MVC,所以作为用户看到 LoginView 之前的最后一步,我可以访问我的 LoginController 中的内容。在我返回视图之前,我在这里 .invalidate() 会话。
因此,基本上用户在登录页面时永远不会拥有真实有效的会话 ID。只有在他登录后,MagicFilter 才会分配另一个会话 ID,然后将其保留,因为我只在我的 LoginController 中无效()会话 ID。
但这感觉很粗糙,我不得不“破解”MagicFilter的自动过程。任何人都可以看看这在会话固定方面是否应该是安全的?
security - 如果我不通过 url 发送会话 ID,我是否需要在登录时循环我的会话 ID
我听说我的网站可能会受到以下黑客的攻击:
- 去我的网站开始一个会话。
- 不知何故让客户使用相同的会话 ID 访问我的网站
- 客户端登录
- 当攻击者使用会话 ID 返回我的站点时,他拥有对该客户帐户的完全访问权限。
如果会话 ID 通过 url 传递并且循环它是有意义的(session_regenerate_id),我可以看到这已经完成,但是如果我只使用 session_start 并且我没有在任何时间点将会话 ID 放入 url,这是否需要?
java - Veracode CWE 384 会话固定
我正在修复 veracode 静态扫描发现的缺陷,我发现了几个缺陷会话修复,如下所示:
- request.getSession().get/set Attribute();
OWASP 说我应该在注销和登录后使会话无效,但是这些行周围没有登录。我不明白为什么在这行中检测到这个缺陷。你能帮我理解为什么会发生这种情况以及如何解决它吗?
spring - 在 Spring Security 4.0.1 中注入 NullAuthenticatedSessionStrategy
我正在使用 spring-security 3.1.3 将现有应用程序迁移到 4.0.1。在当前代码中,我看到 NullAuthenticatedSessionStrategy 使用如下
在我们为 4.0.1 spring security 迁移的代码中,如果我保持不变,似乎使用了 SessionFixationProtectionStrategy。所以我已经使用 session-fixation-protection=none 关闭了保护。
Q-1; 在这里,我不清楚使用 NullAuthenticatedSessionStrategy 与关闭上述保护有什么区别。
Q-2; 如果我仍然想在当前代码中使用 NullAuthenticatedSessionStrategy,如何在 4.0.1 中做到这一点?
谢谢
php - 如果不使用 post 和/或 get,是否可以进行会话固定?
从我在线阅读的内容来看,会话固定攻击似乎是由通过 url 中的查询字符串或可能通过 POST 传递的 session_id 信息引起的。对于我的网站,我从不通过 GET 或 POST 传递会话信息;我只是将会话信息存储在 SESSION 中!这对我来说似乎非常明显,以至于我觉得我好像遗漏了一些东西......如果你只是将 session_id 存储在浏览器的 SESSION 中,你能保护你的客户 session_id 信息吗?
resin - 解决树脂应用服务器中的会话修复错误修复
我正在使用树脂应用服务器 request.getSession.invalidate();reguest.getSession(true) 无法正常工作,并且在使用 Resin 时不会重置会话 ID。
我也不能使用 request.changeSessionId() 因为树脂版本不能使用 JavaEE7 库。
请分享您对如何使用 Resin 解决会话固定问题的看法
php - session_regenerate_id 是如何工作的?
不久前我读过有关保护会话的信息,但我不知道我是否正确使用它。我所知道的是它用一个新的ID替换了当前的ID。
例如:
这是使用 session_regenerate_id 的正确方法吗?