我们已经在实验室中使用IBM appscan扫描了一个Spring安全应用程序,并且有一个"会话标识符未更新"中等警报。一切都是默认的,它在Tomcat下运行。那么这是Tomcat问题还是Spring Security问题?我们对此感到困惑,因为它应该是一种流行的开箱即用组合
原始请求: 为j_username&安培;为j_password
然后发布到: http://localhost/j_spring_security_checkj
原始回复 POST / sp / j_spring_security_check HTTP / 1.1Content-Type:application / x-www-form-urlencodedCookie:JSESSIONID = 14FF774AB81BC86D988D588AC2555BE6Accept-Language:en-USAccept:text / html,application / xhtml + xml,application / xml; q = 0.9, / ; q = 0.8Referer:http://localhost/sp/主机:localhost用户代理:Mozilla / 5.0(兼容; MSIE 9.0; Windows NT 6.1; WOW64; Trident / 5.0)内容 - 长度:23j_username =& j_password =
Appscan似乎抱怨: 测试结果似乎表明存在漏洞,因为原始请求(左侧)和响应(右侧)中的会话标识符相同。它们应该在响应中更新。
答案 0 :(得分:0)
AppScan报告该应用程序可能是Session Fixation Attacks的潜在目标。
Spring Security文档有section专用于防止此类攻击。您将需要尝试本节中提到的newSession
设置以消除AppScan警告。