URL重写漏洞

时间:2014-07-09 05:18:29

标签: security url url-rewriting

我们将基于cookie的会话处理修改为URL重写。通过这样做,会话ID作为URL的一部分传输。

现在存在一个漏洞问题,使用此URL的任何人都可以登录系统。

要解决此问题,我们已完成以下操作

[1]已创建HTTP会话侦听器以维护HTTP会话列表。 监听器在创建或销毁会话时对事件做出反应。

[2]已创建会话筛选器以验证HTTP会话并根据HTTP请求属性检查其完整性 如果请求属性(标识客户端源)与存储在会话中的原始属性不匹配,则会话将失效。 (阻止会话劫持尝试)

但是,当您尝试通过代理等访问时,我认为这有差距。

还有其他有效的解决方案吗?

由于产品的性质,我们也不能使用第三方库来解决这个问题。

1 个答案:

答案 0 :(得分:1)

所以你需要加倍小心会话ID就像这样:用户共享网址!关于这个问题的最终建议来自OWASP:

但我认为你应该考虑以下额外的控制措施:

  • 在每个请求上轮换会话密钥。这仅适用于简单的Web应用程序。如果用户可能在应用程序上打开第二个选项卡,那么它无疑会导致AJAX问题并且可能难以管理。
  • 缩短超时时间。

我假设在'HTTP请求属性'中你提到你已经拿起用户代理,源IP地址并且如果这些不一致则使会话无效。

如果您正在使用SSL,则可能会在会话ID与SSL连接相关联的情况下执行一个很好的解决方案(例如,Apache在SSL_SESSION_ID环境变量中公开它)。但是这些信息可能无法用于您的应用程序。