有很多人用Appscan扫描系统时候有 会话标识未更新 这样的漏洞!
在网上查了一些资料!他们说的太理论化了! 根本听不懂!
我简单直白的说一下,
其实就是 在第一次登陆后
cookie记录了你的信息! 如果你下一次登陆时候 那个session的id 还是你以前的id ,从而有人攻击你 得到你的session id 就很不安全了
有人使用了这样的方法 ! 在登陆前先清除一下session invalidate方法! 但是这个方法只是清除session内的内容!下次登陆还会根据你的cookie唤醒你的session 其实和没做 一样!
最好的处理方法就是在登陆时候
equest.getSession(true).invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
这样cookie过期了!就没有办法了!
另外一种方式利用JSP的一些特性,不让登录页面产生Session
<% page session=”false” %>
前车之鉴 仅供参考!