posts - 36, comments - 419, trackbacks - 0, articles - 0
  BlogJava :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

URL中允许携带sessionid带来的安全隐患。

Posted on 2010-08-23 21:00 BearRui(AK-47) 阅读(3114) 评论(6)  编辑  收藏 所属分类: WEB

  很多WEB开发语言为了防止浏览器禁止了cookie而无法识别用户,允许在URL中携带sessionid,这样虽然方便,但却有可能引起钓鱼的安全漏洞。

 

图示:

   下图是从测试组发来的安全报告中剪出来的,图有些小问题,本来想重画1个,在visio中没找到合适的图。所以只能用别人的图了。

       

 

说明:   

  让我们对上图的步骤进行详细说明:   

  1. 黑客用自己的帐号登录,假设登录页面是:http://www.abc.com/login.jsp   

  2. 服务器返回登录成功。   

  3. 黑客从cookie中查看自己的sessionid,比如是1234   

  4. 黑客把带自己sessionid的地址发送给一般用户。http://www.abc.com/login.jsp;jsessionid=1234(不同的语言带sessionid的方式不一样,着是jsp的方式)   

  5. 用户在黑客给的地址中用自己的帐号进行登录,登录成功。(这个时候用户登录的信息就会覆盖黑客之前的登录信息,而且2个人用的是同1个sessionid)   6. 黑客刷新页面,看到的账户信息就是用户的信息了,而不是之前黑客自己帐号的信息。

 

防治:  

  要防止这种问题,其实也很简单,只要在用户登录时重置session(session.invalidate()方法),然后把登录信息保存到新的session中。

 

后语:  

  可能你跟我一样,刚开始看到这个时候,就自己去测试到底能不能钓鱼成功,经过我的测试是可以成功的,但测试过程中需要注意下面几个问题:  

  1. 要注意你使用的语言是如何在URL中带sessionid。(我测试的时候开始在URL中使用大写的jsessionid,导致一直不起效)    

  2. 要http://www.abc.com/login.jsp;jsessionid=1234页面登录表单的action也带上了jsessionid,不然也没用。对于这个问题你可能觉得如果login.jsp表单的action是写死,而不是读取当前URL的,     可能就不会出现这个钓鱼问题。这只能防住1个方向。黑客可以做1个和login.jsp一模一样的页面(比如http://www.abc1.com/login.jsp),然后把这个地址发个客户,而这个地址中的表单这样写就可以:   <form action="http://www.abc.com/login.jsp;jsessionid=1234" ....



[作者]:BearRui(AK-47)
[博客]: http://www.blogjava.net/bearrui/
[声明]:本博所有文章版权归作者所有(除特殊说明以外),转载请注明出处.
英雄,别走啊,帮哥评论下:  

精彩推荐 好文要顶 水平一般 看不懂 还需努力

评论

# re: URL中允许携带sessionid带来的安全隐患。[未登录]  回复  更多评论   

2010-08-24 09:43 by roywong
学习了

# re: URL中允许携带sessionid带来的安全隐患。  回复  更多评论   

2010-08-24 11:29 by dothwinds
学习了,我想说基本上危害很小。

# re: URL中允许携带sessionid带来的安全隐患。  回复  更多评论   

2010-08-24 15:52 by 吟风
仅对于get提交的登录。假域名太容易看出来了

# re: URL中允许携带sessionid带来的安全隐患。  回复  更多评论   

2010-08-24 17:56 by BearRui(AK-47)
@吟风
呵呵,哪是因为我们都是做技术的,所以很容易看出来,很多人连域名是什么都不知道。

# re: URL中允许携带sessionid带来的安全隐患。  回复  更多评论   

2010-08-30 16:07 by weigqa
果然不错!!
不过,造个假COOKIES挺难的。

# re: URL中允许携带sessionid带来的安全隐患。  回复  更多评论   

2010-08-30 16:12 by weigqa
看来,还是得从服务器代码中,尽可能的防止危险发生。。。

只有注册用户登录后才能发表评论。


网站导航: