ESAPI之會話安全

時間  2019-11-10
標籤 esapi 會話 安全 欄目 系統安全 简体版
原文   原文鏈接

ESAPI是開源組織owasp,開放的安全開發框架,但百度、google搜索相關的技術文章不多,今天小嚐試了一下,分享一下心得。html

會話攻擊,簡單理解就是盜用竊取用戶的cookie,假裝成用戶,向服務器端發送請求,竊取用戶私密信息。java

具體如何防止會話攻擊,很簡單,參照《Web應用安全威脅與防治--基於OWASP TOP 10 與ESAPI》書中介紹的方法,一旦用戶登陸成功後,立刻validate用戶的會話,具體步驟以下:api

  1. 用戶輸入用戶名和密碼
  2. 系統對用戶進行驗證經過
  3. 已有的會話信息若是仍然須要,則轉移到一個臨時變量中去
  4. invalidate當前會話
  5. 建立一個新會話
  6. 把臨時變量中保存的會話信息恢復到新建立的會話中去
  7. 用戶使用這個新的會話登陸到系統中並進行操做

 

貼出實例安全

構造一個簡單登陸頁面服務器

 

[html]  view plain copy print ?
 
  1. <body>  
  2.     <form action="loginServlet" method="post">  
  3.         用戶名:<input type="text" name="username" /><br/>  
  4.         密碼:<input type="password" name="password"/><br/>  
  5.         <input type="submit" value="登陸"/>  
  6.     </form>  
  7.   </body>  


驗證成功的頁面cookie

 

 

[html]  view plain copy print ?
 
  1. <body>  
  2.    歡迎${sessionScope.username }登陸  
  3.  </body>  


而後是一個LoginServlet,其中DefaultHTTPUtilities是ESAPI中org.owasp.esapi.reference.DefaultHTTPUtilities類,該類的changeSessionIdentifier(request),就是實現上述功能。session

 

 

[java]  view plain copy print ?
 
  1. public void doPost(HttpServletRequest request, HttpServletResponse response)  
  2.             throws ServletException, IOException {  
  3.         String username = request.getParameter("username");  
  4.         String password = request.getParameter("password");  
  5.         DefaultHTTPUtilities dhUtil = new DefaultHTTPUtilities();  
  6.         try {  
  7.             HttpSession session = dhUtil.changeSessionIdentifier(request);  
  8.             session.setAttribute("username", username);  
  9.             session.setAttribute("password", password);  
  10.             request.getRequestDispatcher("/index.jsp").forward(request, response);  
  11.         } catch (AuthenticationException e) {  
  12.             e.printStackTrace();  
  13.         }  
  14.     }  


貼出changeSessionIdentifier(request)方法源碼框架

 

 

 

[java]  view plain copy print ?
 
    1. public HttpSession changeSessionIdentifier(HttpServletRequest request) throws AuthenticationException {  
    2.   
    3.         // get the current session  
    4.         HttpSession oldSession = request.getSession();  
    5.   
    6.         // make a copy of the session content  
    7.         Map<String,Object> temp = new ConcurrentHashMap<String,Object>();  
    8.         Enumeration e = oldSession.getAttributeNames();  
    9.         while (e != null && e.hasMoreElements()) {  
    10.             String name = (String) e.nextElement();  
    11.             Object value = oldSession.getAttribute(name);  
    12.             temp.put(name, value);  
    13.         }  
    14.   
    15.         // kill the old session and create a new one  
    16.         oldSession.invalidate();  
    17.         HttpSession newSession = request.getSession();  
    18.         User user = ESAPI.authenticator().getCurrentUser();  
    19.         user.addSession( newSession );  
    20.         user.removeSession( oldSession );  
    21.   
    22.         // copy back the session content  
    23.       for (Map.Entry<String, Object> stringObjectEntry : temp.entrySet())  
    24.       {  
    25.          newSession.setAttribute(stringObjectEntry.getKey(), stringObjectEntry.getValue());  
    26.         }  
    27.         return newSession;  
    28.     }  
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程