Servlet - 使用 changeSessionId() 防止会话固定攻击

最新推荐文章于 2026-06-14 14:06:11 发布
原创 最新推荐文章于 2026-06-14 14:06:11 发布 · 1.2k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#servlet #java #前端
本文介绍了如何利用Java Servlet 3.1 API来防范会话固定攻击。通过调用HttpServletRequest的changeSessionId()方法,可以在用户成功登录后改变会话ID,从而保护用户会话的安全。同时,通过实现HttpSessionIdListener,可以监听会话ID的变化。示例展示了登录和余额查询两个Servlet的实现,并给出了使用Jetty运行示例的说明。

会话固定攻击,黑客获取/设置(通过任何方式)另一个人的会话ID。然后,黑客可以冒充他人并获取敏感信息。

Java Servlet 3.1 引入了以下 HttpServletRequest 方法:

String changeSessionId()

此方法将当前会话 id 更改为新的,从而提供针对会话固定攻击的保护。

Servlet 3.1 还引入了HttpSessionIdListener用于接收 HttpSession id 更改通知。

对于 3.1 之前的版本,我们可以使用以下步骤:

HttpSession session = .....
    .....
session.invalidate();
session=request.getSession(true);
//now set data from old session here

例子

在以下示例中,我们将学习如何使用 Servlet 3.1 API 对抗会话固定。

登录 servlet

@WebServlet(name = "userLoginServlet", urlPatterns = {"/login"})
public class LogInServlet extends HttpServlet {

  @Override
  protected void doGet(HttpServletRequest req, HttpServletResponse resp)
          throws ServletException, IOException {

      HttpSession session = req.getSession();
      String userKey = "loggedInUser";
      User user = (User) session.getAttribute(userKey);
      if (user == null) {
          user = loadUserForRequest(req);
          session.setAttribute(userKey, user);
      }
      prepareLogginInfoHtml(user, resp);
      req.changeSessionId();
  }

  private void prepareLogginInfoHtml(User user, HttpServletResponse resp)
          throws IOException {
      resp.setContentType("text/html");
      PrintWriter w = resp.getWriter();
      w.write("User logged in " + user.getName());
      w.write("<br/><a href='/balance'>Show Balance</a>");
  }

  private User loadUserForRequest(HttpServletRequest req) {
      //returning a dummy user
      return new User("1", "Mike", "12312",
              BigDecimal.valueOf(200000));
  }
}
public class User {
  private String id;
  private String name;
  private String accountNumber;
  BigDecimal currentBalance;
    .............
}

用于登录后处理的另一个 servlet

@WebServlet(name = "userBalanceServlet", urlPatterns = {"/balance"})
public class BalanceServlet extends HttpServlet {

  @Override
  protected void doGet(HttpServletRequest req, HttpServletResponse resp)
          throws ServletException, IOException {

      HttpSession session = req.getSession();
      User user = (User) session.getAttribute("loggedInUser");
      if (user == null) {
          RequestDispatcher dispatcher = getServletContext().getRequestDispatcher("/login");
          dispatcher.forward(req, resp);
      } else {
          prepareBalanceInfoHtml(user, resp);
          req.changeSessionId();
      }
  }

  private void prepareBalanceInfoHtml(User user, HttpServletResponse resp) throws IOException {
      resp.setContentType("text/html");
      PrintWriter w = resp.getWriter();
      w.write("User logged in " + user.getName());
      w.write("<br/>Balance: " + user.getCurrentBalance());
  }
}

实现 AppSessionIdListener

@WebListener
public class AppSessionIdListener implements HttpSessionIdListener {

  @Override
  public void sessionIdChanged(HttpSessionEvent event, String oldSessionId) {
      System.out.println("oldSessionId: " + oldSessionId);
      System.out.println("newSessionId: " + event.getSession().getId());

  }
}

要尝试示例,请运行嵌入式 Jetty(在以下示例项目的 pom.xml 中配置):

mvn jetty:run

在本教程中,我们使用 Jetty 插件而不是 tomcat7-maven-plugin,因为 tomcat 插件不支持 Servlet 3.1(它支持最高 3.0 的版本)。

输出

点击“显示余额”链接:

服务器输出

正如我们的 HttpSessionIdListener 打印的那样:

.....
oldSessionId: node0md9ox8wtj0e91lr5kpuzw7dql0
newSessionId: node01jl2v0v5bvfwgxvhr7ao2f52z1
....
oldSessionId: node0nyhkl2ej1ret1716bwjwyl9a92
newSessionId: node0mqnz9mrwfg8a1it5hxc7rdg3v3
....

Chrome 检查 - 网络选项卡

 

示例项目

使用的依赖项和技术:

  • javax.servlet-api 3.1.0 Java Servlet API
  • jetty-maven-plugin 9.4.1.v20170120:Jetty maven 插件。
  • JDK 1.8
  • Maven 3.3.9
allway2
关注
会话标识未更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
Spring 整合 Spring Security 踩坑记录
weixin_46464010的博客
08-14 876
Spring 整合 Spring Security
sessionId在每次request请求时变化的问题处理
daimondaimon的专栏
12-30 1万+
前言 众所周知,http协义的请求都是无状态的,所以服务端要记录用户的状态时,就需要用某种机制来识别具体的用户。而这个机制就是Session,Session是服务端保存的一个数据结构,用于跟踪用户状态的。我们一般用于存储用户的登录信息,也用其生成SessionId,存放在cookies上 问题 我们在开发过程中,因需要验证登录时使用的验证码,会在服务端生成一个SessionId与当时请求得到的验证码,放到redis上,再把SessionId返回存放到客户端上,作为该用户的一个凭证。...
httpServletRequest每次请求sessionId不同问题的一种解决办法分享
qq_41183828的博客
11-01 1318
Chrome浏览器获取httpServletRequest每次请求sessionId不同问题的一种解决办法分享 Session是怎么实现的 存储在哪里
java 改变sessionid_java web登录前后改变sessionId标示的安全性问题解决
weixin_33820059的博客
02-27 2263
在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话的sessionId,这样这个未授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。一、在解决该问题之前,需要了解session会话的创建,session的创建方式主要有以下3种:/...
php session fixation,聊聊session fixation attacks
weixin_39838302的博客
03-31 185
序本文主要讲一下session fixation attacks以及spring security对它的防范。session fixation attacks会话固定攻击,是利用那些登录前和登录之后sessionId没有变化的漏洞来获取登录态,进而获取用户的相关信息等。servlet3.1规范servlet3.1规范中,HttpServletRequest.java明确规定了一个changeSes...
若依(RuoYi)开源项目维护者必看:如何排查并修复默认配置带来的安全隐患
最新发布
GBin1中文互联
06-14 374
本文深入剖析若依(RuoYi)开源项目中由默认配置引发的安全隐患,提供从Druid监控面板暴露到Shiro密钥固化等漏洞的全面修复方案。通过五层防御体系构建指南,帮助开发者有效提升系统安全性,避免常见配置风险,适用于企业级项目安全加固。
Servlet3.1 新增的非阻塞式IO
爱雨轩
08-04 7268
Servlet3.1新增的新特性 强制更改sessionId 由HttpServletRequest 的changeSessionId()方法实现 非阻式IO 非阻塞式IO 我们应该知道Servlet底层的IO是通过如下两个IO流支持的 ServletInputStream : 用来读取数据的输入流 ServletOutputStream : 用来输出数据的输出流 从Serv
Servlet.service() for servlet [springmvc] HttpServletRequest.changeSessionId()Ljava/lang/String;
陈伯韬
03-20 1034
出现这个问题的原因啊 真的是能气死人啊, spring的版本 <spring.version>5.2.2.RELEASE</spring.version> jdk的版本:8 根据以上的配置,然后运行Tomcat7,就会出现这个问题,但是,吧Tomcat的版本升到8,就好了!!!! ...
Spring Security中的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4925
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程中,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
WEB安全漏洞之会话标识未更新漏洞(.net强制更新会话标识)
yinshengchen的博客
07-27 813
【代码】WEB安全漏洞之会话标识未更新漏洞(.net强制更新会话标识)
Spring Securtity (九)会话固定攻击和跨站请求伪造
weixin_43189971的博客
07-20 953
1.会话固定攻击概念 2.跨站请求伪造概念 2.1.csrf令牌 2.2.js在其中做了什么
常见web安全问题及解决方案
qq_42569946的博客
09-24 1655
web应用程序常见安全问题及解决方案,如:session劫持、session固定、xss攻击、CSRF跨站请求伪造
Java Servlet 实战入门教程-09-servlet HttpSession
热门推荐
10-06 2万+
Servlet Session 跟踪 HTTP 是一种"无状态"协议,这意味着每次客户端检索网页时,客户端打开一个单独的连接到 Web 服务器,服务器会自动不保留之前客户端请求的任何记录。 但是仍然有以下三种方式来维持 Web 客户端和 Web 服务器之间的 session 会话: Cookies 一个 Web 服务器可以分配一个唯一的 session 会话 ID 作为每个 Web 客户端的 co...
跨域引起的session失效
weixin_42202352的博客
07-06 1907
业务场景 解决方式 总结 业务场景 ​ 场景1、 A系统原来访问B系统,之前是通过nginx前端配置的跨域方式访问(验签),然后再经B系统重定向到nginx中的前端指定页面;此时的访问链接形式如: http://a.com/a/b?redirectUrl=http://a.com/index.html 场景2、 后来由于业务需求,需要使用A-系统需要使用https来访问B系统,在不能影响A系统访问B的前提下申请了LB(loadbalance)通过LB的https负载到nginx的域名上a.com,此时的
用户登陆成功修改SessionId
weixin_41591944的博客
12-09 4635
问题场景 用户进入登陆页面的时候会生成一个SessionId,登陆成功后会带着这个一开始生成的SessionId进行后续的操作,但是这样的话就有一个问题,恶意攻击者可以抓取一开始的这个SessionId去伪造请求,所以登陆成功后需要更新SessionId,并且让浏览器的Cooike也随之修改。 解决方案: 其实是一个很简单的修改办法,但是百度了很久,都是一些不管用的,所以自己去看了一下HttpRequset接口里面的代码。 req是HttpServletRequest ...
spring-session自定义cookie中的sessionId名称(基于springboot)
zhu124866的专栏
08-17 2万+
为何要修改sessionId名称 如果多个应用系统,访问使用同一个域名或IP,不同端口时,在同一个浏览器登陆这些系统系统,它们之间会出现用户会话会出现覆盖问题,即登录到其中一个应用系统,其他应用系统出现重新登陆现象; 具体操作 经过分析SpringHttpSessionConfiguration的源码(这里不带大家对源码进行分析了),可归纳出以下两种方式可修改sessionId名称 1、定...
如何防止session伪造攻击
enchanterblue的专栏
05-02 1970
如何防止Session伪造攻击  Session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击.任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSION伪造攻击...
java防止csrf攻击_java网页程序采用 spring 防止 csrf 攻击.
weixin_42571444的博客
02-13 538
经常开发银行的应用,在安全性方面要求比较高,在安全性保护方面,csrf 攻击是必须测试的项目之一,关于什么是 csrf 攻击,我不想多做解释,网上已经介绍够多了,可以参看 IBM Developer works 的文章 http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ 这篇文章介绍了 csrf 的危害和一般解决办法,在实际开发...
java shiro jwt,Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
weixin_35432846的博客
03-13 1011
应用场景:由于项目后端管理系统不只是一个服务,而且不只在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session要禁用掉,同时要重新写JWT的过滤器。使用shiro+ssm+jwt的一些前期准备:禁用sessionJWT实现工...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值