因改漏洞而引申了解的Cookie机制!
近期因为修改漏洞:Appscan扫描漏洞:加密会话(SSL)Cookie中缺少Secure属性,而涉及到Cookie有关的知识,现结合该漏洞的修复过程和了解的cookie知识总结一下。
一、加密会话(SSL)Cookie中缺少Secure属性漏洞概述:
任何以明文形式发送到服务器的 cookie、会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。(也可以认为,当把传输协议改为Https的时候,需要设置传输的Cookie是secure属性,不然Appscan认为是不安全的,则会报该漏洞)。
图一:Appscan漏洞扫描报告(可以看到是哪个文件引起哪个漏洞)
二、修复方式:
1、 在web.xml文件中配置:
图二:Appscan参考库推荐修复方案
2、如果是WebShpere服务器的话,还可以在服务器中进行设置:
图三:WebShpere服务器设置修复方式
注1:以上两种方式,都是给容器添加了配置,使得容器响应给前台的Cookie都添加上secure属性。同时,给Cookie添加了这个secure属性之后,如果是http协议的话,则该Cookie不能进行传输的,所以会影响在http协议下的正常的功能。(在保理云系统中,则会导致滑动验证后台校验的时候Session拿不到值从而登录时滑动验证一直不能通过)
注2:Appscan还有另外一个关于Cookie的漏洞:Cookie中缺少HttpOnly属性!当给Cookie中设置了HttpOnly属性,则js不能获取到Cookie信息,即在F12控制台下也不能使用document.cookie获取Cookie信息。
问:为什么在第一次访问保理云后台的时候,在RandomWidthServlet请求的时候响应了Set-Cookie呢?
答:因为在RandomWidthServlet请求的时候,后台服务器第一次获取了Session设置滑动距离保存在后台Session,相当于这个时候第一次生成了Session,而根据会话跟踪技术的规定,这个时候就会响应一个Cookie给到前台,用以浏览器后面再发送请求的时候跟踪到该Session从而确定是哪个浏览器。(服务器会向浏览器发送一个名为JSESSION的Cookie,它的值为该Session的id,也就是HttpSession.getId()的返回值,Session依据该Cookie来识别是否是同一用户。)
图四:RandomWidthServlet请求部分代码
关于Set-Cookie和Cookie!
有两个Http头部和Cookie有关,即Set-Cookie和Cookie,如下图六。
Set-Cookie:由服务器发送,它包含在响应请求的头部中,它用于在客户端创建一个Cookie。即服务器响应了该Cookie给浏览器之后,浏览器会自动去解析保存该响应头的Cookie,在后面浏览器再发送请求服务器的时候,请求头部分就会携带上该Cookie到后台供进行会话跟踪。
Cookie:由客户端发送,包含在Http请求头中。注意:只有Cookie的domain属性和path与请求的url匹配才会发送这个Cookie。
图五:第一次访问网站的请求响应包
图六:非第一次访问网址的请求响应包
问:如果有一些情况不能使用Cookie,例如浏览器不支持(大部分手机中的浏览器)或者禁用了Cookie,那该如何实现会话跟踪呢?
答:Java Web提供了另外一种解决方案:URL地址重写。例如在所有请求地址上加个Sid参数,值为Session的id,根据这些请求的sid参数,就可以匹配到后台对应的Session,因此就可以跟踪对应的用户了。
Cookie的有效期问题!
Cookie的maxAge决定着Cookie的有效期,单位为秒。Cookie中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。
如果maxAge属性为正数,则表示该Cookie会在maxAge秒之后自动失效。浏览器会将maxAge为正数的Cookie持久化,即写到对应的Cookie文件中。无论客户关闭了浏览器还是电脑,只要还在maxAge秒之前,登录网站时该Cookie仍然有效。例如,登录过的网站能自动填充帐号密码,以及自动登录功能都是通过Cookie机制实现的。
cookie.setMaxAge(Integer.MAX_VALUE); //这样设置的话,该cookie将永久有效
如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效。maxAge为负数的Cookie,为临时Cookie,不会被持久化,不会被写到Cookie文件中。Cookie信息保存在浏览器内存中,因此关闭浏览器该Cookie就消失了。Cookie默认的maxAge值为-1.
如果maxAge为0,则表示删除该Cookie。Cookie机制没有提供删除Cookie的方法,因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除。