URL重寫漏洞

Question

我們修改了基於cookie的URL會話處理的重寫。通過這樣做，會話標識將作爲URL的一部分傳輸。

現在有一個漏洞問題，使用此URL的任何人都可以登錄系統。

要解決這個問題，我們做了以下

[1] A HTTP會話監聽器已經建立，以維護HTTP會話的列表。 當會話被創建或銷燬時，監聽器對事件做出反應。

[2]已創建會話過濾器以驗證HTTP會話並根據HTTP請求屬性檢查其完整性 在請求屬性（標識客戶端來源）與會話保存的原始屬性不匹配時，會話將失效。 （阻止會話劫持未遂）

但是我認爲，這有一定的差距，當您試圖訪問通過代理等

對此有任何其他有效的解決方案？

此外，由於產品的性質，我們不能使用第三方庫來解決此問題。

Answer 1

所以你需要加倍小心會議ID像這樣：用戶分享URLs！關於這一問題的最終意見來自OWASP：

• https://www.owasp.org/index.php/Session_Management_Cheat_Sheet

但我認爲你應該考慮以下額外的控制：

• 旋轉對每個請求的會話密鑰。儘管這隻適用於簡單的Web應用程序。如果用戶有可能在應用程序中打開第二個選項卡，那麼這對AJAX毫無疑問會造成問題，並且可能難以管理。
• 更短的超時時間。

我假設在'HTTP請求屬性'中提到你已經拿起用戶代理，源IP地址和會話失效，如果這些不一致。

如果您使用的是SSL，那麼可以在會話ID綁定到SSL連接（例如，在SSL_SESSION_ID環境變量中公開這個會話ID）的情況下做一個很好的解決方案。但是這些信息可能不適用於您的應用程序。