今天以前公司的项目问了一个关于会话的问题,觉得比较有意思,记录一下。
关于servlet的会话机制原理,这里就不啰嗦了,网络上一大把。主要说明下问的这个问题:
用浏览器访问servlet服务,servlet容器一般会返回一个标示当前会话的cookie,一般servlet容器默认的都是JSESSIONID,这样就会有个问题,每次我用一个浏览器登录后,我使用其他浏览器或者http访问工具如httpclient伪造一个刚浏览器登录的会话的cookie,那是不是就可以访问需要身份认证后的资源?
写个测试页面jsp:
<% Cookie [] cookies = request.getCookies(); //cookie可能为null out.append("cookie is null :"); out.append(cookies==null ? "true<br>" : "false<br>"); if(cookies != null) for(int i=0; i<cookies.length; i++){ out.append(cookies[i].getName()+":"+cookies[i].getValue()); out.append("<br>"); } out.print(request.getSession().getId()); %>
使用浏览器访问这个jsp,查看JSESSIONID的cookie信息,然后用httpclient伪造一个cookie进行访问:
HttpClient client = new HttpClient(); HttpMethod get = new GetMethod("http://localhost:8080/test/test.jsp"); Cookie cookie = new Cookie(); cookie.setName("JSESSIONID"); //设置域名 cookie.setDomain("localhost"); //设置path cookie.setPath("/test/"); cookie.setValue("0000MDDSdWQ0_C2HDRFpurjIt91"); HttpState state = client.getState(); state.addCookie(cookie); client.setState(state); client.executeMethod(get); System.out.println(get.getResponseBodyAsString());
测试发现,浏览器访问返回的和httpclient返回的一样,说明cookie机制的会话是可以伪造的。
可见,伪造会话是可行的,如果默认使用容器的会话,可能会泄露安全数据,当然这是需要你的网络信息被侦听,获取到了你的会话cookie或者其他安全相关的cookie。使用高安全的https,或者做请求验证,在默认的会话机制上增加相关安全机制都可有安全保障
java程序依赖的lib放在附件了,要测试的话可以下载