2

私はJavaで書かれたWebアプリケーションを持っています。認証プロセスではセッションを使用しません。アプリケーション スキャンが実行され、セッション固定攻撃の可能性があることが判明しました。セッションを使用していないときに疑問に思っています。セッションの固定をどのように修正または防止しますか? これはFORTIFYスキャンレポートが伝えるものです

The following changes were applied to the original request:
• Added parameter 'Cookie_abcxyz.com-443' with the following value 'R3777273810'
• Removed cookie 'Cookie_abcxyz.com-443'

Request/Response:
GET / HTTP/1.1
Content-Length: 43
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: myportal.abcxyz.com
Cookie_abcxyz.com-443=R3777273810
HTTP/1.1 200 OK
Set-Cookie: Cookie_abcxyz.com-443=R3777273810; path=/
Content-Length: 11211
Date: Mon, 13 Feb 2012 17:08:14 GMT
Server: abcxyz
Cache-Control: no-cache
Content-type: text/html
4

1 に答える 1

11

認証プロセスでセッションを使用しません....セッションを使用していないのはいつだろうと思います

これは無関係です。サーバーにセッション管理を使用していると仮定します。このエラー レポートは、セッション ID のクエリ文字列を検証していないことを示しています。
攻撃を受ける方法の例については、こちらをご覧ください:セッションの固定化

更新:
標準のコンテナーを使用していないのではないかと疑っています。コードを入れていないため、実際に何をすべきかはわかりませんが、あなたの説明と、そのような発見のレポートを受け取ったという事実から、問題は、URL の再書き換えを許可すると、攻撃者がそれを使用して、既知のセッション ID を渡してセッションを「盗む」ことができることです。
大まかに言えば、ユーザーがログインした後、現在のセッションを無効にし、その場で新しいセッションを作成する必要があります。その結果、既に「盗まれた」ID を再利用することはできません。

また、投稿で提供する情報は非常に少ないため、問題のあるコードの部分を特定するために、次のいくつかを調べるのに時間がかかる必要があります。
OWASP 1
OWASP 2
OWASP 3
Java セキュア セッション SO
ASP 同様に
興味深い論文セッション固定について Java Secure Session Managementで
おそらく使用できる OWASP のいくつかの HTTP ユーティリティ

于 2012-03-05T16:13:06.503 に答える