問題タブ [session-fixation]

これが引き起こす可能性のある影響:顧客のセッションと Cookie を盗んだり操作したりする可能性があります。これは正当なユーザーになりすますために使用される可能性があり、ハッカーがユーザー レコードを表示または変更し、そのユーザーとしてトランザクションを実行できるようになります。

セッション固定攻撃を防ぐために推奨される解決策は、ユーザーのログイン時にセッション ID を更新することです。この修正は、セッション管理機能が実装されている場所に応じて、コード レベルまたはフレームワーク レベルで行うことができます。

私はこれに対する修正を見つけようとしていますが、まだ成功していません。Joomla 2.5 でこれを修正する方法を教えてください。

この修正をフレームワーク レベルで実装したいと考えています。どんな助けでも大歓迎です。

この投稿を見ましたが、このコード
を使用するとセッション固定攻撃に対して脆弱であるかどうかわかりません。

myPage.php

このコードのみをそのまま使用しており、URL パラメーターなどは使用していません。
このコードは、php セッション固定攻撃に対して脆弱ですか? はいの場合、どのように？私は PHP の専門家ではありません.
攻撃の例を投稿できますか?

セッション固定を防止するセキュリティをプロジェクトに実装しようとしています。

セッションの作成と検証全体を処理するコンポーネント (特定のライブラリのフィルター、MagicFilter と呼びましょう) にアクセスできないため、別の方法を見つけようとしていました。

ここで、私のセッションで次のシナリオを検討してください。

• ユーザーがログインページを要求する
• MagicFilter は JSESSIONID などで Cookie を設定します
• 他のフィルターはいくつかの作業を行います...
• Java Spring MVC であるため、ユーザーが LoginView を見る前の最後のステップとして、LoginController 内のものにアクセスできます。ここでは、ビューを返す直前にセッションを .invalidate() します。

したがって、基本的に、ユーザーはログインページにいる間、実際の有効なセッション ID を持っていません。彼が MagicFilter にログインした後でのみ、別のセッション ID が割り当てられます。これは、LoginController でセッション ID を無効にするだけなので、その後に固執されます。

しかし、これは非常に大雑把に感じられ、MagicFilter の自動プロセスを「ハック」する必要がありました。これがセッションの固定に関して安全であるかどうかを誰でも確認できますか?

私のサイトが次のようなハッカーに攻撃される可能性があると聞いたことがあります。

1. セッションを開始するには、私のサイトにアクセスしてください。
2. どういうわけかクライアントに同じセッション ID で私のサイトにアクセスしてもらいます
3. クライアントがログインする
4. 攻撃者がセッション ID を持って私のサイトに戻ってきた場合、攻撃者はそのクライアント アカウントに完全にアクセスできます。

セッション ID が URL によって渡され、それを循環させる (session_regenerate_id) ことは理にかなっている場合、これが行われていることがわかりますが、session_start を使用するだけでセッション ID を URL に入れていない場合、これは必要ですか?

spring-security 3.1.3 を使用して既存のアプリケーションを 4.0.1 に移行しています。現在のコードでは、以下のように NullAuthenticatedSessionStrategy が使用されていることがわかります

4.0.1 スプリング セキュリティ用に移行したコードでは、そのままにしておくと、SessionFixationProtectionStrategy が使用されているようです。したがって、session-fixation-protection=none を使用して保護をオフにしました。

Q-1; ここでは、 NullAuthenticatedSessionStrategy を使用する場合と、上記のように保護をオフにする場合の違いは明確ではありません。

Q-2; 現在のコードのように NullAuthenticatedSessionStrategy を使用したい場合、4.0.1 でそれを行うにはどうすればよいですか?

ありがとう

私がオンラインで読むことができることから、セッション固定攻撃は、url のクエリ文字列、またはおそらく POST を介して渡される session_id 情報によって引き起こされるようです。私の Web サイトでは、セッション情報を GET または POST で渡すことはありません。セッション情報を SESSION に保存しているだけです。何かが欠けているように感じるほど、それは私には信じられないほど明白に思えます...ブラウザのSESSIONにsession_idを保存するだけで、クライアントのsession_id情報を保護できますか?

レジン アプリ サーバーを使用しています request.getSession.invalidate();reguest.getSession(true) が正しく機能せず、レジンの使用中にセッション ID がリセットされません。

また、レジン版は JavaEE7 ライブラリを利用できないため、request.changeSessionId() も利用できません。

Resin でセッション固定を解決する方法について意見を共有してください

少し前にセッションの保護について読んだことがありますが、それを正しく使用しているかどうかわかりません。私が知っているのは、現在の ID を新しい ID に置き換えることだけです。

たとえば、次のようになります。

それは session_regenerate_id を使用する正しい方法ですか?