0
如果我沒有在Web應用程序中使用session="false"指令在登錄頁面,將在jSESSIONID登錄頁面本身創建。JSP指令會話=「假」
也可以通過使用創建的jSESSIONID來破解應用程序並訪問文件,而不需要登錄驗證,只需通過登錄頁面即可。
您的回覆非常感謝。
感謝,普拉迪普摹
A
回答
1
這裏是一個可能的攻擊向量:
您打開登錄頁面,但不登錄,因爲它是午飯時間。
壞演員走進你的辦公室,寫下你的JSESSIONID。
午餐後,你登錄。這JSESSIONID現在是有用的。
壞演員可以使用JSESSIONID從自己的瀏覽器,看看你的會話。
解決方案:
創建一個全新的JSESSIONID成功登錄後(以便從之前驗證一個並不突然變得有價值)。
相關問題
- 1. Jsp會話值
- 2. JSP頁面指令
- 3. JSP會話問題
- 4. JSP會話內存?
- 5. JSP中的會話
- 6. JSP使用include指令
- 7. JSP include指令標籤
- 8. JSP c:不處理指令
- 9. 錯誤在JSP taglib指令
- 10. JSP中的會話問題
- 11. JSP中的會話屬性
- 12. 在jsp/struts中的會話
- 13. 在JSP中銷燬會話
- 14. JSP會話不使用servlet
- 15. JSP會話和Bean混淆
- 16. JSP會話不爲空
- 17. Memcache /會話與GAE和JSP
- 18. 從servlet訪問JSP會話
- 19. JSP中的會話變量
- 20. 會話JSP按鈕點擊
- 21. jsp會話重定向
- 22. 會話屬性在JSP中
- 23. 的處理JSP會話
- 24. 解決JSP會話註銷
- 25. USERNAME PRINTING NULL; javabeans,jsp會話
- 26. 最佳實踐:斷言指令()==假
- 27. 會話cookie僅Http假軌3.1
- 28. 設置註銷無效會話爲假
- 29. 爲什麼JSP指令被稱爲指令?
- 30. Youtube會話令牌