超级会员免费看
本文详细介绍了Spring Security如何防范会话固定攻击,包括HTTP防火墙机制、默认防御策略以及四种防御会话固定攻击的策略。此外,还探讨了Session共享问题及其解决方案,特别是通过Spring Session实现集中存储来解决分布式环境下的Session共享问题,并给出了Spring Session的配置步骤。
一、前言
在上篇 Spring Security 6.x 系列(13)—— 会话管理之会话概念及常用配置
中了清晰了协议和会话的概念,并对 Spring Security 中的常用会话配置进行了说明,今天我们着重了解会话固定攻击防护和 Session 共享。
二、会话固定攻击防护
2.1 会话固定攻击
我们在上篇讲了什么是 URL重写,知道 URL重写 原本是为了兼容禁用cookie的浏览器而设计的,但是很多技术都有两面性,URL重写 其实存在被黑客利用的风险,其中黑客较为常用的一种攻击手段就是 会话固定攻击(session fixation attack)。
一般情况,只要我们不关闭浏览器,并且服务端的 HttpSession 也没有过期,那么维系服务端和浏览器的 sessionid 是不会发生变化的。而会话固定攻击,则是利用这一机制,借助受害者用相同的会话 ID 获取认证和授权来进行攻击。黑客只需访问一次系统,将系统生成的 session
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
