我們修改了基於cookie的URL會話處理的重寫。通過這樣做,會話標識將作爲URL的一部分傳輸。URL重寫漏洞
現在有一個漏洞問題,使用此URL的任何人都可以登錄系統。
要解決這個問題,我們做了以下
[1] A HTTP會話監聽器已經建立,以維護HTTP會話的列表。 當會話被創建或銷燬時,監聽器對事件做出反應。
[2]已創建會話過濾器以驗證HTTP會話並根據HTTP請求屬性檢查其完整性 在請求屬性(標識客戶端來源)與會話保存的原始屬性不匹配時,會話將失效。 (阻止會話劫持未遂)
但是我認爲,這有一定的差距,當您試圖訪問通過代理等
對此有任何其他有效的解決方案?
此外,由於產品的性質,我們不能使用第三方庫來解決此問題。
請考慮在http://security.stackexchange.com/問問題 – Banana
請不要交叉帖子 - 通過標記主持人的注意力來請求遷移。其他網址:http://security.stackexchange.com/q/62767/8340 – SilverlightFox
我已經停在你的第一行。 '{°_°}'你爲什麼這樣做? –