我们将基于cookie的会话处理修改为URL重写。通过这样做,会话ID作为URL的一部分传输。
现在存在一个漏洞问题,使用此URL的任何人都可以登录系统。
要解决此问题,我们已完成以下操作
[1]已创建HTTP会话侦听器以维护HTTP会话列表。 监听器在创建或销毁会话时对事件做出反应。
[2]已创建会话筛选器以验证HTTP会话并根据HTTP请求属性检查其完整性 如果请求属性(标识客户端源)与存储在会话中的原始属性不匹配,则会话将失效。 (阻止会话劫持尝试)
但是,当您尝试通过代理等访问时,我认为这有差距。
还有其他有效的解决方案吗?
由于产品的性质,我们也不能使用第三方库来解决这个问题。
答案 0 :(得分:1)
所以你需要加倍小心会话ID就像这样:用户共享网址!关于这个问题的最终建议来自OWASP:
但我认为你应该考虑以下额外的控制措施:
我假设在'HTTP请求属性'中你提到你已经拿起用户代理,源IP地址并且如果这些不一致则使会话无效。
如果您正在使用SSL,则可能会在会话ID与SSL连接相关联的情况下执行一个很好的解决方案(例如,Apache在SSL_SESSION_ID环境变量中公开它)。但是这些信息可能无法用于您的应用程序。