簡體 English 中英

Java Spring中的會話劫持

[英]Session hijacking in Java Spring

原文 2014-12-15 21:49:30 7 1 java/ spring/ session-hijacking

我有一個關於劫持會話變量的問題。 讓我們假設我們有一個受Spring Security支持的Web應用程序，並且我進入了一個頁面，其中在服務器端存儲了一堆會話變量。 現在，通常不能僅從客戶端訪問會話變量。 客戶端是否可以通過某種方式將頁面重定向到另一個Web應用程序（帶有惡意的服務器端腳本），同時保持當前會話變量不變？

我的印象是，原始Web應用程序中沒有重大缺陷是不可能的。

無論如何，問題是：是否可以在不對Web應用程序的服務器端內容進行任何更改的情況下竊取Spring Security支持的Web應用程序的會話變量？

編輯：使用TLS

1 個解決方案

如果客戶端/服務器通信不使用SSL，則可以嗅探sessionID。 對於任何不利用任何類型的客戶端-服務器通信加密的框架來說，都是如此。

客戶端也有可能重定向到另一個Web應用程序。 這是XSS攻擊的一部分（跨站點腳本）。 XSS有兩種類型。 存儲並反映出來。

您可以在此處找到更多詳細信息跨站點腳本

針對 https 請求緩解 java 中的 session 劫持

[英]Mitigating session hijacking in java for an https request

用戶登錄和會話劫持后的Spring Security cookie

[英]Spring Security cookies after user logs in and Session Hijacking

Java 中的會話劫持預防 (Struts 2.0) | 遇到錯誤

[英]Session Hijacking Prevention in Java (Struts 2.0) | Error Encountered

ZK的會話劫持預防

[英]Session hijacking prevention in ZK

如何防止tomcat會話劫持？

[英]How to prevent tomcat session hijacking?

在Java Spring中管理會話

[英]Managing session in java spring

Spring AOP不是使用@Around注釋的劫持方法

[英]Spring AOP is not hijacking method with @Around annotation

Java Spring Boot的Redis會話

[英]Redis Session with Java Spring boot

Spring Security會話超時-Java

[英]Spring Security Session Timeout - Java

劫持Java中的偵聽器，傳入其他參數

[英]Hijacking listeners in Java, passing in additional parameters

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 針對 https 請求緩解 java 中的 session 劫持用戶登錄和會話劫持后的Spring Security cookie Java 中的會話劫持預防 (Struts 2.0) | 遇到錯誤 ZK的會話劫持預防如何防止tomcat會話劫持？在Java Spring中管理會話 Spring AOP不是使用@Around注釋的劫持方法 Java Spring Boot的Redis會話 Spring Security會話超時-Java 劫持Java中的偵聽器，傳入其他參數

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM