Мое приложение работает в jboss 7, а сеансы поддерживаются с помощью файла cookie jsessionid, который отмечен как безопасный, так и httponly. Но даже при этом, если я могу получить значение jsessionid cookie любого пользователя, я смогу подменять его как пользователь. Есть ли способ предотвратить это?JsessionId spoofing - Jboss 7
ответ
Когда у вас есть сеанс для пользователя на вашем сервере, вам нужно выполнить запрос от пользователя к его сеансу, это цель файла cookie JSESSIONID.
Вот почему вам необходимо защитить его, добавив «безопасный» (этот файл cookie будет отправлен только через https, чтобы предотвратить сетевое обнюхивание) и «HttpOnly» (чтобы отключить доступ к этому файлу cookie с помощью кода javascript клиента).
Вы можете добавить другие способы смягчения, проверив изменение IP-адреса пользователя (но нарушит изменение 3G/WIFI для законных пользователей), строку пользовательского агента, ... Но на практике, если у вас есть доступ к файлу cookie JSESSIONID вы также можете получить доступ к этим данным.
Вы посмотрите на управление сеансами OWASP Шпаргалка для более может: https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
- 1. Настроить JSessionID, сгенерированный JBoss
- 2. JBoss 7: эквивалентно jboss-log4j.xml
- 3. Jboss 7 vs Jboss 4
- 4. Liferay 7, Конфигурация Jboss 7
- 5. JBoss 7 ClassNotFoundError
- 6. Ошибка развертывания Jboss 7
- 7. Kodo on JBoss 7
- 8. JBoss 7 + Hibernate + Log4j
- 9. JBoss 7 перемонтирования подключить
- 10. JBoss 7 чудес
- 11. Jboss 7 собственный аутентификатор
- 12. JBoss 7 SNMP адаптер
- 13. JBoss AS 7: Регистрация
- 14. JBoss 7 Statup Fails
- 15. JBoss 7 ServiceLoader
- 16. javax.naming.NameNotFoundException JBoss 4,3 до JBoss 7
- 17. jboss 5 to jboss 7 jms
- 18. Spoofing Location
- 19. HTTP-браузер Spoofing
- 20. JBoss 7.0.1 работает без jsessionid в URL-адресе не работает
- 21. Как включить httponly для jsessionid cookie в jboss 4.2.3
- 22. Репликация сеанса кластера jboss не работает (несколько cookie jsessionid)
- 23. Jboss 7 не запускается в WIndows 7
- 24. JBoss 7 в CentOS 7 всегда ищет jboss-as-standalone.pid в пути/var/run/jboss-as
- 25. JSESSIONID суффикс с .undefined
- 26. LDAP-аутентификация с JBoss 7
- 27. Управление кешем в JBoss 7
- 28. Jboss AS 7 Hibernate Конфигурация
- 29. JBoss AS 7 Infinispan кластера
- 30. Многопоточная проблема в JBoss 7