情景:
如果多个用户同时使用,基于cookie的登录有时会被覆盖,导致一个用户看到其他用户信息。
会话完全基于cookie,每个服务器请求都通过cookie中的编码值对数据库进行身份验证,以确保有效的用户和会话。
应用程序使用spring MVC框架。除了数百名用户同时访问网站外,应用程序运行良好。并发问题很少。一个用户的数据正在与另一个用户交换。
我们在重现这个问题时遇到了麻烦。我们的测试资源有限,这是我们应该遵循的工具/方法来复制问题。
答案 0 :(得分:1)
此方案适用于安全漏洞。
我在进行系统测试时已经重现了这种情况,但不太确定在您的情况下也适用。 希望以下步骤对您的情况有所帮助。
重现的步骤:
针对用户A检查后端数据库中最近修改的数据和时间戳。
此时,DB必须按原样重置原始参数。
现在尝试对用户B进行任何数据修改。
数据库必须要求重置原始参数值
第二个user B的会话共享行为不应该发生,第二个user B应该具有与第一个user A不同的会话ID。