我们的安全团队运行了一个扫描,告诉我们我们很容易受到会话固定的影响,文档告诉我们在tomcat中我们应该使用context.xml中的changeSessionIdOnAuthentication设置。
WebSphere 8.5中的等效举措是什么?
答案 0 :(得分:0)
我在WAS 8.5中遇到了同样的问题。使用spring security结束配置会话固定问题。
<security:session-management invalid-session-url="/login" session-authentication-error-url="/login" session-fixation-protection="newSession">
<security:concurrency-control error-if-maximum-exceeded="true" max-sessions="1" expired-url="/login"/>
答案 1 :(得分:0)
WebSphere 8.5 is using a servlet api version that is < 3.1,因此您不能使用HttpServlet Request的changeSessionId()方法。
相反,您可以做的是,在对应用程序中的用户进行身份验证时,可能是tryAuthentication()或类似方法,您可以执行以下操作:
HttpSession session = request.getSession(false);
if(session != null)
session.invalidate();
session = request.getSession();
以上内容提供了针对session fixation攻击的保护。