java或者jsp中修复会话标识未更新漏洞
2015-01-29 14:58
218 查看
AppScan会扫描“登录行为”前后的Cookie,其中会对其中的JSESSIONOID(或者别的cookie id依应用而定)进行记录。在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞。
2. AppScan中,对“会话标识未更新”提供了修改建议:
一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵会话标识。请勿接受用户浏览器登录时所提供的会话标识。
3. 依据修改建议修改如下:
登录时:
<%
session.invalidate();
Cookie[] cookies=request.getCookies();
if(null!=cookies){
for(int i=0;i<cookies.length;i++){
if("JSESSIONID").equalsIgnoreCase(cookies[i].getName()){
cookies[i].setMaxAge(0);
response.addCookie(cookies[i]);
}
}
}
%>
退出时:
<%
reponse.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires",0);
session=request.getSession(true);
session.invalidate();
%>
2. AppScan中,对“会话标识未更新”提供了修改建议:
一般修订建议 始终生成新的会话,供用户成功认证时登录。防止用户操纵会话标识。请勿接受用户浏览器登录时所提供的会话标识。
3. 依据修改建议修改如下:
登录时:
<%
session.invalidate();
Cookie[] cookies=request.getCookies();
if(null!=cookies){
for(int i=0;i<cookies.length;i++){
if("JSESSIONID").equalsIgnoreCase(cookies[i].getName()){
cookies[i].setMaxAge(0);
response.addCookie(cookies[i]);
}
}
}
%>
退出时:
<%
reponse.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires",0);
session=request.getSession(true);
session.invalidate();
%>
相关文章推荐
- java或者jsp中修复会话标识未更新漏洞
- java或者jsp中修复会话标识未更新漏洞
- java或者jsp中修复会话标识未更新漏洞
- java或者jsp中修复会话标识未更新漏洞
- 【AppScan深入浅出】修复漏洞:会话标识未更新(中危)
- 【AppScan深入浅出】修复漏洞:会话标识未更新(中危)
- [AppScan深入浅出]修复漏洞:会话标识未更新
- 甲骨文发布Java紧急更新 专家称未修复漏洞
- Java写文件时文件名\00或者\0截断BUG导致的文件上传漏洞及修复
- 会话标识未更新 漏洞处理
- Java更新修复27个危急安全漏洞
- IBM Security Appscan漏洞--会话标识未更新
- IBM appcsan扫描安全漏洞--会话标识未更新
- 苹果修复iOS 6测试版中泄露软件更新信息的漏洞
- 会话标识未更新问题
- 【jsp】当你改了一个java类或者jsp在浏览器中看不到你改的效果时
- 当你改了一个java类或者jsp在浏览器中看不到你改的效果时
- Adobe Flex补丁更新:修复Flex的漏洞
- Java漏洞成黑客目标 微软呼吁用户更新软件
- 甲骨文发布Java补丁程序 修复27处漏洞