会话标识未更新漏洞 原理以及修复方法

漏洞名称：会话操纵、会话标识未更新

漏洞描述 ：会话标识未更新漏洞，在用户进入登录页面，但还未登录时，就已经产生了一个
session，用户输入信息，登录以后，session的id不会改变，也就是说没有建立新
session，原来的session也没有被销毁）, 可能会窃取或操纵客户会话和cookie，它
们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执
行事务。

检测条件：1、 已知Web网站地址
                  2、 Web业务运行正常
                  3、 Web业务存在登陆认证模块
                  4、 已知正确的用户名、口令

检测方法：1、 打开网站登录页面。
                  2、 登陆前通过软件工具抓取到的cookie信息值与在登录后抓取到的cookie进行对
比，如果其值一样，则可判断其会话的cookies或者sessions未进行更新

修复方案 ：始终生成新的会话，供用户成功认证时登录登陆界面和登陆成功的界面一致时，
修改后台逻辑，在验证登陆逻辑的时候，先强制让当前session过期，然后用新的
session存储信息：登陆界面和登陆成功的界面不一致时 在登陆界面后增加下面一段
代码，强制让系统session过期。

例如：

request.getSession().invalidate();//清空 session
Cookie cookie = request.getCookies()[0];//获取 cookie
cookie.setMaxAge(0);//让 cookie 过期 ；

注意：这段代码需要在页面的最后部分加上才可以，否则将报错