IBM Security Appscan漏洞--会话标识未更新

可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
“会话标识未更新”是中危漏洞，AppScan会扫描“登录行为”前后的Cookie，其中会对其中的JSESSIONOID（JSP）或者 ASP.NET_SessionId（ASP）进行记录。在登录行为发生后，如果cookie中这个值没有发生变化，则判定为“会话标识未更新”漏洞。
解决办法：

在登陆页面中添加如下代码：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
    request.getSession().invalidate();//清空session
    Cookie cookie = request.getCookies()[0];//获取cookie
    cookie.setMaxAge(0);//让cookie过期
%>

保险起见，在验证登陆成功前添加如下代码

try {
    request.getSession().invalidate();  
    if (request.getCookies() != null) {  
       Cookie cookie = request.getCookies()[0];// 获取cookie 
       cookie.setMaxAge(0);// 让cookie过期 
    }  
} catch (Exception e) {  
     e.printStackTrace();  
}  
session = request.getSession(true);  

会话标识未更新”的危害，在于攻击者通过某种方式（如XSS）将自己的Id置入了被攻击者的浏览器，将会话标识改为某个攻击者预设的值，被攻击者正常登陆，若服务器接收了这个预设值，那么相当于攻击者获得了被攻击者登录后的权限，因此才要求在登录时更新会话标识

我是一个小菜鸟，大家如有更简单高效的方法，欢迎在评论中指出，一起分享。谢谢