如果我在Web应用程序的“登录”页面中不使用session="false"指令,则会在“登录”页面中创建jSESSIONID。
还可以通过使用创建的jSESSIONID来破解应用程序并访问文件,甚至无需登录身份验证,只需访问登录页面即可。
非常感谢您的回复。
谢谢,Pradeep G
答案 0 :(得分:1)
这是一个可能的攻击向量:
您打开登录页面,但不要登录,因为这是午餐时间。
坏男演员走进你的办公室,写下你的jSESSIONID。
午餐后,您登录。现在jSESSIONID很有用。
Bad Actor可以使用您自己浏览器中的jSESSIONID来查看您的会话。
解决方案:
在成功登录后创建一个全新的jSESSIONID(以便认证之前的那个不会突然变得有价值)。