牧童的思恋

博客园 首页 新随笔 联系 订阅 管理
ESAPI之会话安全

ESAPI是开源组织owasp,开放的安全开发框架,但百度、google搜索相关的技术文章很少,今天小尝试了一下,分享一下心得。

会话攻击,简单理解就是盗用窃取用户的cookie,伪装成用户,向服务器端发送请求,窃取用户私密信息。

具体如何防止会话攻击,很简单,参照《Web应用安全威胁与防治--基于OWASP TOP 10 与ESAPI》书中介绍的方法,一旦用户登录成功后,马上validate用户的会话,具体步骤如下:

  1. 用户输入用户名和密码
  2. 系统对用户进行验证通过
  3. 已有的会话信息如果仍然需要,则转移到一个临时变量中去
  4. invalidate当前会话
  5. 创建一个新会话
  6. 把临时变量中保存的会话信息恢复到新创建的会话中去
  7. 用户使用这个新的会话登录到系统中并进行操作

 

贴出实例

构造一个简单登录页面

 

[html] view plaincopyprint?
 
  1. <body>  
  2.     <form action="loginServlet" method="post">  
  3.         用户名:<input type="text" name="username" /><br/>  
  4.         密码:<input type="password" name="password"/><br/>  
  5.         <input type="submit" value="登录"/>  
  6.     </form>  
  7.   </body>  


验证成功的页面

 

 

[html] view plaincopyprint?
 
  1. <body>  
  2.    欢迎${sessionScope.username }登录  
  3.  </body>  


然后是一个LoginServlet,其中DefaultHTTPUtilities是ESAPI中org.owasp.esapi.reference.DefaultHTTPUtilities类,该类的changeSessionIdentifier(request),就是实现上述功能。

 

 

[java] view plaincopyprint?
 
  1. public void doPost(HttpServletRequest request, HttpServletResponse response)  
  2.             throws ServletException, IOException {  
  3.         String username = request.getParameter("username");  
  4.         String password = request.getParameter("password");  
  5.         DefaultHTTPUtilities dhUtil = new DefaultHTTPUtilities();  
  6.         try {  
  7.             HttpSession session = dhUtil.changeSessionIdentifier(request);  
  8.             session.setAttribute("username", username);  
  9.             session.setAttribute("password", password);  
  10.             request.getRequestDispatcher("/index.jsp").forward(request, response);  
  11.         } catch (AuthenticationException e) {  
  12.             e.printStackTrace();  
  13.         }  
  14.     }  


贴出changeSessionIdentifier(request)方法源码

 

 

 

[java] view plaincopyprint?
 
    1. public HttpSession changeSessionIdentifier(HttpServletRequest request) throws AuthenticationException {  
    2.   
    3.         // get the current session  
    4.         HttpSession oldSession = request.getSession();  
    5.   
    6.         // make a copy of the session content  
    7.         Map<String,Object> temp = new ConcurrentHashMap<String,Object>();  
    8.         Enumeration e = oldSession.getAttributeNames();  
    9.         while (e != null && e.hasMoreElements()) {  
    10.             String name = (String) e.nextElement();  
    11.             Object value = oldSession.getAttribute(name);  
    12.             temp.put(name, value);  
    13.         }  
    14.   
    15.         // kill the old session and create a new one  
    16.         oldSession.invalidate();  
    17.         HttpSession newSession = request.getSession();  
    18.         User user = ESAPI.authenticator().getCurrentUser();  
    19.         user.addSession( newSession );  
    20.         user.removeSession( oldSession );  
    21.   
    22.         // copy back the session content  
    23.       for (Map.Entry<String, Object> stringObjectEntry : temp.entrySet())  
    24.       {  
    25.          newSession.setAttribute(stringObjectEntry.getKey(), stringObjectEntry.getValue());  
    26.         }  
    27.         return newSession;  
    28.     }  
posted on 2019-06-05 11:26  牧童的思恋  阅读(183)  评论(0编辑  收藏  举报