行业新闻

URL中答应照顾sessionid带来的保险心腹之患

作者:admin    来源:tfxk    发布时间:2011-10-28    阅读:1299次

因为只能用外人的图了。   
  1. 盗码者用本人的帐号登录,假定登录页面是:http://www.abc.com/login.jsp   
  让咱们对于上图的方法停止细致注明:   
注明:   
 
       
   下图是从测试组寄送的保险演讲中剪进去的,图有些小成绩,原来想重画1个,正在visio中没找出适合的图。(我测试的时分开端正在URL中运用大处落墨的jsessionid,招致没有断没有起效)    
  能够你跟我一样,刚刚开端看到某个时分,就本人去测试究竟能没有能钓鱼顺利,通过我的测试是能够顺利的,但测试进程中需求留意上面多少个成绩:  
后语:  
 
  要预防这种成绩,实在也很容易,只需正在用户登录时重置session(session.invalidate()办法),而后把登录消息销毁到新的session中。
  4. 盗码者把带本人sessionid的地点发送给正常用户。关于某个成绩你能够感觉假如login.jsp表单的action是写死,而没有是读取以后URL的,     能够就没有会涌现某个钓鱼成绩。
防疫:  
 
  5. 用户正在盗码者给的地点顶用本人的帐号停止登录,登录顺利。
图示:
 
     很多WEB开拓言语为了预防阅读器制止了cookie而无奈辨认用户,答应正在URL中照顾sessionid,那样固然便当,但却有能够惹起钓鱼的保险破绽。盗码者能够做1个和login.jsp如出一辙的页面(比方http://www.abc1.com/login.jsp),而后把某个地点发个存户,而某个地点中的表单那样写就能够:   <form action="http://www.abc.com/login.jsp;jsessionid=1234" ....(义务编者:帝位库)
  1. 要留意你运用的言语是如何正在URL中带sessionid。这只能防住1个位置。http://www.abc.com/login.jsp;jsessionid=1234(没有同的言语带sessionid的形式没有一样,着是jsp的形式)   
  3. 盗码者从cookie中检查本人的sessionid,比方是1234   
  2. 效劳器前往登录顺利。

。  2. 要http://www.abc.com/login.jsp;jsessionid=1234页面登录表单的action也带上了jsessionid,没有然也没用。(某个时分用户登录的消息就会遮盖盗码者事先的登录消息,并且2集体用的是同1个sessionid)   6. 盗码者刷新页面,看到的账户消息就是用户的消息了,而没有是事先盗码者本人帐号的消息。

回到顶部