tomcat のドキュメントによると、tomcat7 はセッション固定攻撃に対して脆弱ではありません。しかし、Tomcat 7.0.25 と 7.0.27 は、この攻撃に対して脆弱です。ログインに成功しても、JSESSIONID Cookie の値が変更されません。
次のバルブを conf/context.xml に追加しました。しかし、これはうまくいきませんでした。私を助けてください。
<Valve className="org.apache.catalina.authenticator.BasicAuthenticator" changeSessionIdOnAuthentication="true" />
<Valve className="org.apache.catalina.authenticator.SSLAuthenticator" changeSessionIdOnAuthentication="true" />
<Valve className="org.apache.catalina.authenticator.SpnegoAuthenticator" changeSessionIdOnAuthentication="true" />
<Valve className="org.apache.catalina.authenticator.DigestAuthenticator" changeSessionIdOnAuthentication="true" />
<Valve className="org.apache.catalina.authenticator.FormAuthenticator" changeSessionIdOnAuthentication="true" />
また、JSESSION ID Cookie の値は認証時にのみ変化することも知りました。認証とは何を意味しますか? アプリケーションを http から https に切り替えていますか?
ログイン時に jsession id 値を変更できるものはすでに構築されていますか? 現在、コードを介してこれを変更しています。
前もって感謝します。さらに情報が必要な場合はお知らせください。
よろしく、
プラシャント・グプタ