昆明逆火科技有限公司

Tomcat的SessionID引起的Session Fixation和Session Hijacking問題

今天說說SessionID帶來的漏洞攻擊問題。首先，什么是Session Fixation攻擊和Session Hijacking攻擊問題? 說來話長，非常具體的解釋查看我這個pdf文件：《Session Fixation Vulnerability in Web-based Applications》。為什么會注意到這個問題？其實(shí)原來也知道session劫持的問題，但沒有注意，這幾天用IBM Ration AppScan掃描了web漏洞，發(fā)現(xiàn)一個嚴(yán)重的Session Fixation漏洞:"會話標(biāo)識未更新。針對這個問題的解決方案: 始終生成新的會話，供用戶成功認(rèn)證時登錄。防止用戶操縱會話標(biāo)識。issue a new JSESSIONID cookie after login。請勿接受用戶瀏覽器登錄時所提供的會話標(biāo)識。" 原來，用戶訪問我們的登錄頁面，Tomcat就會生成一個SessionID，加密后放到用戶瀏覽器Cookie中。當(dāng)用戶登錄后，這個SessionID并沒有改變。更加糟糕的是，每次在同一臺機(jī)器上，都使用同一個SessionID。這就造成了嚴(yán)重的Session Fixation和Session Hijacking漏洞。其實(shí)，如果Tomcat啟用了SSL，Tomcat的默認(rèn)行為是：當(dāng)用戶通過登錄后，生成一個新的SessionID。如果沒有配置SSL，手動讓Tomcat生成新的SessionID的方法是：

/*
 * Authenticate, first invalidate the previous Tomcat sessionID immediately
 * This step is only required when NO SSL of Tomcat is applied!
 */
if (session!=null && !session.isNew()) {
    session.invalidate();
}
/*
 * Create the sessionID 
 * Actually if deploy this web site in Tomcat by SSL, by default a new SessionID will be generated 
 * 
 * */ 
HttpSession session = getRequest().getSession(true);

在后臺登陸邏輯中，登陸前生成新的SessionID。

另外可以采用下面的CheckList：