解决springboot项目shiro框架下的AppScan漏洞会话标识未更新问题

最近做的一个springboot项目 + shiro框架,在做安全漏洞检查时爆出了一个安全漏洞:会话标识未更新。用的扫描工具是IBM的AppScan。

要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。 

一般的解决方法如下:

    public void login(HttpServletRequest request, ...){
         // 让旧session失效
         request.getSession(true).invalidate();
         //登录验证
    }

还有一种方案:

在登录页面上加上一段代码:
request.getSession().invalidate();//清空session
Cookie cookie = request.getCookies()0;//获取cookie
cookie.setMaxAge(0);//让cookie过期

然后用户再输入信息登录时,就会产生一个新的session了。

----------------------------------------------------------------------------------

但是,如果使用了shiro框架,这样做会报错:...httpSession has been already invalidated。原因是shiro对HttpSession进行了一层包装,你直接让原生的session失效,没有通知shiro,shiro再去使用session时就会报错了。
最终的解决方法,不要使用原生的失效方法,而是使用shiro自己提供的api方法:SecurityUtils.getSubject().logout();

最终方案如下:

public Map login(HttpServletRequest request, String username, String password) {
    
        // 让旧session失效,这一句代码一定要放在登录验证的最前面
        SecurityUtils.getSubject().logout();
        // 登录验证
        ......
        
    }

本次针对 Appscan漏洞 会话标识未更新 进行总结,如下:

1.1、攻击原理

  在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。

1.2、APPSCAN测试过程

  AppScan会扫描“登录行为”前后的Cookie,其中会对其中的会话信息进行记录,在登录行为发生后,如果cookie中这个值没有发生变化,则判定为“会话标识未更新”漏洞

1.3、修复建议(目前只是Apache Shiro安全框架下的修复建议)

  若使用的是Apache Shiro安全框架,可使用SecurityUtils.getSubject().logout()方法,参考:http://blog.csdn.net/yycdaizi/article/details/45013397

 

 

你可能感兴趣的:(安全类问题,JavaWeb相关)