0
如果我沒有在Web應用程序中使用session="false"
指令在登錄頁面,將在jSESSIONID
登錄頁面本身創建。JSP指令會話=「假」
也可以通過使用創建的jSESSIONID
來破解應用程序並訪問文件,而不需要登錄驗證,只需通過登錄頁面即可。
您的回覆非常感謝。
感謝,普拉迪普摹
如果我沒有在Web應用程序中使用session="false"
指令在登錄頁面,將在jSESSIONID
登錄頁面本身創建。JSP指令會話=「假」
也可以通過使用創建的jSESSIONID
來破解應用程序並訪問文件,而不需要登錄驗證,只需通過登錄頁面即可。
您的回覆非常感謝。
感謝,普拉迪普摹
這裏是一個可能的攻擊向量:
您打開登錄頁面,但不登錄,因爲它是午飯時間。
壞演員走進你的辦公室,寫下你的JSESSIONID。
午餐後,你登錄。這JSESSIONID現在是有用的。
壞演員可以使用JSESSIONID從自己的瀏覽器,看看你的會話。
解決方案:
創建一個全新的JSESSIONID成功登錄後(以便從之前驗證一個並不突然變得有價值)。