jak odświeżyć plik cookie JSESSIONID po zalogowaniu

Nie mogę skomentować powyższej odpowiedzi @ cherouvim, ponieważ nie mam wystarczającej ilości punktów. Nowy identyfikator sesji powinien być ustawiony " po " pomyślnym zalogowaniu się użytkownika, aby uniknąć utrwalenia sesji. Spróbuję wyjaśnić moje rozumowanie.

Utrwalenie sesji skutecznie oznacza, że atakujący w jakiś sposób oszukał użytkownika, aby użył wartości znanej atakującemu. Dla uproszczenia Załóżmy, że atakujący podszedł do biurka użytkownika, użył Firebuga i edytował plik cookie użytkownika. Teraz, gdy użytkownik loguje użytkownik zostanie zalogowany za pomocą pliku cookie kontrolowanego przez atakującego. Ponieważ atakujący również zna tę wartość, odświeży przeglądarkę, a zasoby zmapowane do tego identyfikatora sesji (zasoby ofiary) zostaną mu podane. To fiksacja sesji. Zgadza się?

Teraz przychodzi moment, w którym się nie zgadzam. Sugerujesz wygenerowanie nowej sesji zanim użytkownik faktycznie się zaloguje (wpisuje nazwę użytkownika i hasło oraz kliknie submit). Bez wątpienia spowoduje to wygenerowanie nowego pliku cookie, ale będzie on w przeglądarce użytkownika przed zalogowaniem się. Jeśli więc atakujący może ponownie edytować plik cookie "prelogin", atak nadal trwa, ponieważ ten sam plik cookie będzie używany nawet po zalogowaniu się użytkownika.

Myślę, że to jest poprawne / align = "left" /

• User does a GET / login.html
• powrót do strony logowania z dowolnym ciasteczkiem, który znajduje się obecnie w przeglądarce
• użytkownik wpisuje dane uwierzytelniające i kliknie submit
• Aplikacja weryfikuje poświadczenia
• po stwierdzeniu, że poświadczenia były poprawne. sesja.invalidate() jest uruchamiane ..niszczenie starego ciastka.
• Wygeneruj teraz nowy plik cookie za pomocą request.getSession (true)

Oznacza to, że nawet jeśli napastnik udaje się namówić Cię do użycia kontrolowanej wartości przed zalogowaniem się, nadal jesteś protected..as aplikacja wymusza zmianę wartości po zalogowaniu.

Oto dobry blog na ten temat - https://blog.whitehatsec.com/tag/session-fixation/

Wykonałem następujący sposób, aby zregenerować nową sesję ze starej sesji. Mam nadzieję, że skorzystasz z tego.

private void regenerateSession(HttpServletRequest request) {

    HttpSession oldSession = request.getSession();

    Enumeration attrNames = oldSession.getAttributeNames();
    Properties props = new Properties();

    if (attrNames != null) {
        while (attrNames.hasMoreElements()) {
            String key = (String) attrNames.nextElement();
            props.put(key, oldSession.getAttribute(key));
        }

        //Invalidating previous session
        oldSession.invalidate();
        //Generate new session
        HttpSession newSession = request.getSession(true);
        attrNames = props.keys();

        while (attrNames.hasMoreElements()) {
            String key = (String) attrNames.nextElement();
            newSession.setAttribute(key, props.get(key));
        }
    }

Czy problem polega na tym, że JSESSIONID jest widoczny w przeglądarce lub że w ogóle jest ustawiany w pliku cookie? Zakładam, że to drugie w Twoim przypadku.

1.wydanie nowego pliku cookie JSESSIONID po zalogowaniu

Jest to domyślne zachowanie Tomcat , jeśli przełączysz się z http na https w momencie logowania. Stary jest odrzucany, a nowy jest generowany.

Jeśli sam login jest ponad http, to chyba kolejny problem bezpieczeństwa dla audytorów ;)

Czy wszystkie Twoje strony są przez https?

Znalazłem dwie rzeczy, które mogą pomóc innym.

1. Jeśli używasz Apache Wicket, istnieje na to rozwiązanie po wersji 1.4. Moja aplikacja jest nadal na 1.3, więc nie zdawałem sobie sprawy, ale byłem w stanie z powrotem port go bardzo łatwo w mojej klasie WebSession. Wicket 1.4 dodaje metodę replaceSession () do WebSession, która działa świetnie. Możesz zadzwonić zaraz po uwierzytelnieniu, a otrzymasz nowy identyfikator JSESSIONID. To w zasadzie rozwiązało ten problem dla mnie. Więcej informacji tutaj: https://issues.apache.org/jira/browse/WICKET-1767.

2. Po wersji 5.5.29 dostępny jest Apache Tomcat valve, który można dodać do kontekstu.xml. Zajmie się wydaniem nowego identyfikatora JSESSIONID po uwierzytelnieniu. Więcej informacji można znaleźć tutaj: https://issues.apache.org/bugzilla/show_bug.cgi?id=45255 . Wejście do zaworu wyglądałoby tak: <Valve className="org.apache.catalina.authenticator.FormAuthenticator" changeSessionIdOnAuthentication="true"/>

HttpServletRequest.changeSessionId() może być użyty do zmiany identyfikatora sesji w dowolnym momencie.

Podczas używania sprężyny należy użyć SessionFixationProtectionStrategy.

<property name="sessionAuthenticationStrategy" ref="sas"/>
...
<bean id="sas" class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy"/>

Podczas sprawdzania kodu źródłowego , zobaczysz, że jest to podobne do podejścia harsha89: będzie

1. Utwórz nową sesję
2. przenoszenie atrybutów starej sesji.

Jeśli używasz Tomcat i chcesz zastosować to globalnie do wszystkich serwletów, które używają mechanizmu uwierzytelniania Tomcat, możesz napisać zawór, aby wymusić to zachowanie, jak pokazano w tym przykładowym kodzie .

Jeśli używasz starszej wersji jbossa, takiej jak jboss 4, po prostu wywołaj żądanie.getSession (true) po sesji.wywołanie invalidate () nie zmieni identyfikatora sesji.

Jeśli nie chcesz używać valve i chcesz zmienić ID sesji w klasie action to samo może być zarchiwizowane za pomocą reflection, ponieważ CatalinaRequest nie będzie dostępny bezpośrednio w twojej klasie action.

Przykładowy kod

private HttpSession changeSessionId( HttpServletRequest request )
{
    HttpSession oldSession = request.getSession( false );
    HttpSession newSession = null;

    try
    {
        //get all cookies from request
        Cookie[] cookies = request.getCookies();

        //Get all attribute from old session
        Enumeration< Object > attrNames = oldSession.getAttributeNames();

        Properties attributFromOldSession = new Properties();

        while ( attrNames.hasMoreElements() )
        {
            String key = (String)attrNames.nextElement();
            attributFromOldSession.put( key, oldSession.getAttribute( key ) );
        }

        //Actual logic to change session id

        Field catalinaRequestField;

        //Getting actual catalina request using reflection
        catalinaRequestField = request.getClass().getDeclaredField( "request" );
        catalinaRequestField.setAccessible( true ); // grant access to (protected) field
        Request realRequest = (Request)catalinaRequestField.get( request );

        //Invalidating actual request
        realRequest.getSession( true ).invalidate();
        realRequest.setRequestedSessionId( null );
        realRequest.clearCookies();

        //setting new session Id
        realRequest.setRequestedSessionId( realRequest.getSessionInternal( true ).getId() );

        //Put back the cookies
        for ( Cookie cookie : cookies )
        {

            if ( !"JSESSIONID".equals( cookie.getName() ) )
            {
                realRequest.addCookie( cookie );
            }
        }

        // put attribute from old session
        attrNames = attributFromOldSession.keys();

        while ( attrNames.hasMoreElements() )
        {
            String key = (String)attrNames.nextElement();
            newSession.setAttribute( key, attributFromOldSession.get( key ) );
        }
    }
    catch ( Exception e )
    {
        e.printStackTrace();
    }
    return newSession;

}

session=request.getSession(true);
Enumeration keys = session.getAttributeNames();     
HashMap<String,Object> hm=new HashMap<String,Object>();  
while (keys.hasMoreElements())
{
  String key = (String)keys.nextElement();
  hm.put(key,session.getValue(key));
  session.removeAttribute(key);      
}
session.invalidate();
session=request.getSession(true);
for(Map.Entry m:hm.entrySet())
{
  session.setAttribute((String)m.getKey(),m.getValue());  
  hm.remove(m);
}