序

上一篇文章中，我們討論了關(guān)于“瀏覽器記住用戶名和密碼”的問(wèn)題，至于這篇文章嘛，我想談?wù)勱P(guān)于“會(huì)話標(biāo)識(shí)”的漏洞。而且，這篇文章也是“Web安全實(shí)戰(zhàn)”系列的最后一篇。為什么要拿到最后來(lái)說(shuō)呢，其實(shí)，是之前一直困擾我的問(wèn)題，這個(gè)問(wèn)題曾一頓讓我抓狂，n（n=3~5）多天一直沒(méi)有解決，當(dāng)時(shí)也是搜遍了各大網(wǎng)站，各大論壇，均未找到合適的解決方案。其中的過(guò)程就不再?gòu)U話了，轉(zhuǎn)到正題。

問(wèn)題

先介紹一下問(wèn)題是如何發(fā)現(xiàn)的，當(dāng)然，這個(gè)不是我發(fā)現(xiàn)的，是我們測(cè)試部的童鞋發(fā)現(xiàn)的漏洞，然后她轉(zhuǎn)交給我，讓我去解決這個(gè)問(wèn)題。剛開(kāi)始也是一點(diǎn)思路都沒(méi)有，然后就是一頓狂搜，后來(lái)慢慢發(fā)現(xiàn)，其實(shí)這個(gè)問(wèn)題產(chǎn)生的根源，就是應(yīng)用服務(wù)器（如 Tomcat）的 JSessionId 沒(méi)有更新。只要使得舊的 Session 過(guò)期，重新生成新的 Session 即可。當(dāng)然，這是理論上的解決方案，很想當(dāng)然的。

曲折過(guò)程

有了思路之后，再想解決問(wèn)題就容易了很多。于是，我就把范圍固定在了如何讓 Session 過(guò)期，當(dāng)然，這樣的解決方案網(wǎng)上有一籮筐，這里就不多說(shuō)了，我拿到項(xiàng)目中試了試，結(jié)果你肯定能想到 —— 拋異常，異常原因是：...Session already invalidated 。這說(shuō)明在程序中的某處，需要用到 Session 中的數(shù)據(jù)，但是此時(shí) Session 已經(jīng)過(guò)期了，無(wú)法取到數(shù)據(jù)。

于是，我開(kāi)始找是哪里用到了 Session ，遺憾的是，我沒(méi)能找到。心想，找不到 Session 我就換個(gè)思路吧，那就讓 Session 過(guò)期之前，重新生成一個(gè)新的 Session ，把舊的 Session中的數(shù)據(jù)拷貝到新產(chǎn)生的 Session 中。這樣就可以避免 Session 過(guò)期的問(wèn)題了（理論上是這樣）。

到這里，如果是一般的情況，就可以解決了，不過(guò)嘛，如果你的項(xiàng)目中還加入了安全框架 Shiro ，那么在 Session 的處理上，會(huì)有一些麻煩，因?yàn)?Shiro 也會(huì)有自己的 Session ，而且在認(rèn)證的時(shí)候，Shiro 會(huì)有一些處理 Session 的操作，這就是導(dǎo)致 ...Session already invalidated 的原因所在。后來(lái)試了幾種把舊 Session 數(shù)據(jù)轉(zhuǎn)新 Session 數(shù)據(jù)的方案也不好使。

最終方案

一個(gè)偶然的機(jī)會(huì)，在網(wǎng)上找到了一篇《會(huì)話標(biāo)識(shí)未更新》的文章，這篇文章就是介紹的在使用 Shiro 的情況下，如何解決這個(gè)漏洞，不過(guò)，情況不同的是，他使用的是應(yīng)用服務(wù)器是 jBoss，而我們用的則是 Tomcat，本著試一試的態(tài)度，按照他給的思路，把自己的代碼做了一下整理，把對(duì) Session 操作的處理類封裝成了一個(gè) Filter，通過(guò)這個(gè) Filter 對(duì) Session 進(jìn)行處理，下面請(qǐng)看相關(guān)代碼。

代碼如下

首先，增加一個(gè)新類，NewSessionFilter。

<span style="font-family:Comic Sans MS;">package com.test.web.common;
import java.io.IOException;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Map.Entry;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import org.apache.shiro.SecurityUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
public class NewSessionFilter implements Filter {
	private String url;
	private static final Logger logger = LoggerFactory.getLogger(NewSessionFilter.class);
	public static final String NEW_SESSION_INDICATOR = "com.cacss.sc.web.common.NewSessionFilter";
	public static void newSession(){
		HttpSession session = (HttpSession) SecurityUtils.getSubject().getSession(true);
		session.setAttribute(NEW_SESSION_INDICATOR, true);
	}
	@Override
	public void destroy() {
		System.out.println("NewSessionFilter destory");
	}
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		System.out.println("NewSessionFilter doFilter");
		if (request instanceof HttpServletRequest) {
			HttpServletRequest httpRequest = (HttpServletRequest) request;
			//取的url相對(duì)地址
	        String url = httpRequest.getRequestURI();  
	        System.out.println(url);  
	        if (httpRequest.getSession() != null) {
	        	System.out.println("NewSessionFilter doFilter httpRequest.getSession().getId()"+ httpRequest.getSession().getId());
				//--------復(fù)制 session到臨時(shí)變量
				HttpSession session = httpRequest.getSession();
				HashMap old = new HashMap();
				Enumeration keys = (Enumeration) session.getAttributeNames();
				while (keys.hasMoreElements()){
					String key = (String) keys.nextElement();
					if (!NEW_SESSION_INDICATOR.equals(key)){
						old.put(key, session.getAttribute(key));
						session.removeAttribute(key);
					}
				}
				if (httpRequest.getMethod().equals("POST") && httpRequest.getSession() != null 
						&& !httpRequest.getSession().isNew() && httpRequest.getRequestURI().endsWith(url)){
					session.invalidate();
					session=httpRequest.getSession(true);
					logger.debug("new Session:" + session.getId());
				}
				//-----------------復(fù)制session
				for (Iterator it = old.entrySet().iterator(); it.hasNext();) {
					Map.Entry entry = (Entry) it.next();
					session.setAttribute((String) entry.getKey(), entry.getValue());
				}
			}
		}
		chain.doFilter(request, response);
		System.out.println("NewSessionFilter doFilter end");
	}
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		System.out.println("NewSessionFilter init");
		System.out.println("NewSessionFilter init end");
	}
}</span>

然后，在 web.xml 中配置 Filter。

<span style="font-family:Comic Sans MS;"><filter>
	<filter-name>NewSessionFilter</filter-name>
	<filter-class>com.cacss.sc.web.common.NewSessionFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>NewSessionFilter</filter-name>
	<url-pattern>/login</url-pattern>
</filter-mapping>
</span>

這樣處理完之后，再啟動(dòng)應(yīng)用服務(wù)器，登錄前后的 JSessionId 就已經(jīng)不一樣了，也就是說(shuō)，會(huì)話標(biāo)識(shí)未更新的問(wèn)題也就解決了。

結(jié)束語(yǔ)

這個(gè)問(wèn)題困擾了我 n 多天，直到看到這個(gè)解決思路之后，通過(guò)跟測(cè)試部的童鞋協(xié)商，測(cè)試通過(guò)之后，才算是真正的解決了。這也算是這個(gè)系列的最后一篇了，寫(xiě)到現(xiàn)在已經(jīng)把大部分的 Web 安全方面的漏洞都提到過(guò)了，而且也都給出了一些解決方案。

通過(guò)這近一個(gè)多月的漏洞修復(fù)，我在 Web 安全方面真的是惡補(bǔ)了一番，也接觸了很多安全方面的技術(shù)，這對(duì)于我以后的開(kāi)發(fā)、設(shè)計(jì)都是很有好處的，在開(kāi)發(fā)、設(shè)計(jì)的時(shí)候，就會(huì)考慮到會(huì)不會(huì)產(chǎn)生安全漏洞，怎樣做會(huì)避免這樣的問(wèn)題。這樣，就不會(huì)在測(cè)試的時(shí)候出現(xiàn)很多不必要的漏洞了。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

序

問(wèn)題

曲折過(guò)程

最終方案

結(jié)束語(yǔ)