セキュリティ チームがスキャンを実行したところ、セッション固定に対して脆弱であることがわかりました。ドキュメントには、tomcat では context.xml で changeSessionIdOnAuthentication 設定を使用する必要があることが示されています。
WebSphere 8.5 での同等の動きは何ですか?
2 に答える
0
WAS 8.5 でも同じ問題がありました。春のセキュリティを使用してセッション固定の問題を構成することになりました。
<security:session-management invalid-session-url="/login" session-authentication-error-url="/login" session-fixation-protection="newSession">
<security:concurrency-control error-if-maximum-exceeded="true" max-sessions="1" expired-url="/login"/>
于 2016-04-19T00:22:54.033 に答える
0
WebSphere 8.5 は 3.1 未満のサーブレット API バージョンを使用しているため、HttpServlet Request の changeSessionId() メソッドを使用できません。
代わりにできることは、おそらくあなたのアプリケーションでユーザーを認証している時点で、attemptAuthentication() または同様の方法で、次のことができます。
HttpSession session = request.getSession(false);
if(session != null)
session.invalidate();
session = request.getSession();
上記は、セッション固定攻撃に対する保護を提供します。
于 2020-10-26T03:57:44.020 に答える