他のブラウザまたは同じブラウザの新しいタブで jsessionid の例 www.example.com/user/feedback;jsessionid=sdfererefjjefeife33f:1 を追加する URL をボディがコピーした場合、jsessionid の再利用を防ぐ方法。
アプリケーションは、websphere 6.1 で実行される Struts 1.1 で構築されています
助けてください
1948 次
2 に答える
1
Websphere Application 6.1 cf で URL 書き換えを無効にすることができます。http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/uprs_rsession_manager.html .
于 2011-08-19T15:45:24.700 に答える
0
通常、WebSphere Application Server は、HTTP セッション アクセスの許可を強制しません。有効なセッション ID を持つパーティは、どのセッションにもアクセスできます。セッション ID は推測できない可能性がありますが、他の方法でセッション ID を取得できる可能性があります。この形式の攻撃のリスクを軽減するには、セッション セキュリティを有効にすることを検討する必要があります。この設定は、
サーバー > サーバー名 > Web コンテナー > セッション管理
セキュリティ統合というラベルの付いたボックスをチェックします。これが完了すると、WebSphere Application Server は、どのユーザー (提示された LTPA クレデンシャルによって決定される) がどのセッションを所有しているかを追跡し、そのユーザーだけがそのセッションにアクセスできるようにします。
これを機能させるには、WebSphere Application Server が提供する認証および許可メカニズムを使用する必要があります。つまり、アプリケーション セキュリティを有効にし、JavaEE セキュリティ ロールを利用する必要があります。
于 2011-09-18T10:18:10.740 に答える