WEB安全漏洞之会话标识未更新漏洞

漏洞说明

在用户进入登录页面，但还未登录时，会产生一个session，用户输入信息，登录以后，session的id没有改变，也就是说没有建立新session，原来的session没有被销毁, 可以继续使用，黑客可利用此漏洞窃取或操纵客户会话和cookie，用于模仿合法用户，从而能够以该用户身份查看或变更用户记录以及执行事务。

简单的说，就是登录前后的JSESSIONID没有变化。

修复方案

核心思想就是：登录成功后始终生成新的会话。在登陆界面后增加下面一段代码，强制让系统session过期。

	request.getSession().invalidate();//清空session 
    Cookie cookie = request.getCookies()[0];//获取cookie 
    cookie.setMaxAge(0);//让cookie过期 ；

注意这段话要放在登录页面(例如index.jsp)的最后面，否则将会报错。另外需要注意的是，重启浏览器后首次访问门户的时候是没有cookie的，所以要进行判断，避免空指针异常。在项目中具体使用如下，如在index.jsp的最后面：

<%
	if (登录错误码不为空) {
		//给出登录错误提示
	}
	else {
		//登陆成功，使Cookie更新,注意重启浏览器后首次访问门户还没有cookie
		session.invalidate();  
		if(request.getCookies()!=null && request.getCookies().length > 0) {
			Cookie cookie = request.getCookies()[0];
			cookie.setMaxAge(0);
		}
	}
%>