前提
会话固定攻击就是因为会话不变,给了黑客可乘之机;黑客将自己访问系统时的JSESSIONID发给系统用户,让系统用户“被迫”使用该JSESSIONID来访问系统,如果用户在JSESSIONID的有效期内登录了系统,就会使对应的session变为认证通过的session,从而黑客再次访问系统时,也会被系统当成认证通过的用户。
注意有两个要点:
1:系统用户带着黑客发给自己的JSESSIONID访问系统;(可以将JSESSIONID放入请求头中,也可以将JSESSIONID拼接在url的后面)
2:登录前后会话不变;(匿名访问系统和认证通过访问系统时,使用的是同一个JSESSIONID(也是同一个session))
SpringSecurity对会话固定攻击的防御主要体现在以下两个方面
1、限制访问系统时,带JSESSIONID的方式
SpringSecurity中的HTTP防火墙StrictHttpFirewall,会拒绝请求地址中带有“;”的请求;这样以来,就阻止了黑客将JSESSIONID拼接在url的后面来进行会话固定攻击;但是黑客将JSESSIONID放入请求头中来进行会话固定攻击时,还是防御不了,这就需要使用下面介绍的防御方式了。
2、既然会话不变是造成会话固定攻击的本质,那么就让会话变一下
通过上图可以看到,在这里,springsecurity有四个选项:
- migrateSession: 表示在登录成功之后,创建一个新的会话,然后将旧的 session 中的信息复制到新的 session 中,「默认即此」。
- none: 表示不做任何事情,在登录成功之后,继续使用旧的 session。【这种情况下,会话是不变的,无法防御会话固定攻击】
- changeSessionId:表示在登录成功之后,session 不变,但是会修改 sessionid,这样以来黑客手里的sessionid在服务器中就找不到对应的session了,也相当于改变了session;这实际上用到了 Servlet 容器提供的防御会话固定攻击。
- newSession 表示在登录成功之后,创建一个新的 session。
结论
综合以上,我们就了解了SpringSecurity对防御会话固定攻击所做的工作;默认情况下,对于防御会话固定攻击,我们什么都不用做,springsecurity已经为我们做好了。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
