Перезапись URL-адресов - вызывает ли это проблему безопасности?

Question

Привет, я недавно прочитал JSP и наткнулся на его технологии, в основном сеансовые.Под сеансом я прочитал перезапись URL один из методов, который был сделан для поддержания сеанса с клиентом.Но поскольку при переписывании URL-адреса изменяется URL-адрес с идентификатором сеанса, и он может быть виден клиенту.Разве это не проблема безопасности?Скажем, например, если кто-то отмечает этот идентификатор сеанса отдельно от конкретного пользователя, и может ли он плохо его использовать?Или есть методы предотвращения этого?

Поправьте меня, если я не прав.

Answer 1

Конечно, это проблема безопасности.Если вы быстро обратите внимание на значение jsessionid, полученное от кого-то другого по ошибке в общедоступном скопированном URL-адресе или в общедоступном скриншоте какого-либо средства отладки HTTP (Firebug), в котором показаны заголовки запроса / ответа и рассматриваемый веб-сайтподдерживает пользователей с помощью логина, и вы сможете войти под тем же пользователем, просто добавив файл cookie jsessionid к URL-адресу или заголовкам запроса.Быстро, потому что эти сессии истекают по умолчанию после 30 минут бездействия.Это называется фиксация сеанса атака.

Вы можете вообще отключить перезапись URL, чтобы jsessionid никогда не появлялось в URL.Но вы по-прежнему чувствительны к атакам с фиксацией сеансов, некоторые хакеры могли установить перехватчик HTTP-трафика в общедоступной сети или каким-либо трояном / вирусом, или даже использовать XSS, чтобы узнать об этих файлах cookie.Чтобы было ясно, эта проблема безопасности не является специфичной для JSP, PHP, ASP или любого другого веб-сайта, который поддерживает вход в систему посредством сеанса на основе файлов cookie, также чувствителен к этому.

Чтобы быть действительно безопасным при входе в системупозвольте входному и входящему трафику проходить через HTTPS вместо HTTP и делать cookie только HTTPS (безопасным).

Answer 2

Перезапись URL файлов cookie сеанса не рекомендуется в большинстве (если не во всех) кругах безопасности.OWASP ASVS явно не рекомендует его использовать, так как это приводит к раскрытию идентификаторов сеансов через небезопасный носитель.

Когда включена перезапись URL-адресов файлов cookie сеанса, URL-адрес может передаваться (с идентификатором сеанса) на другие сайтыприводя к раскрытию идентификатора сеанса через заголовок реферера HTTP.На самом деле, простой запрос браузера к ресурсу, расположенному в другом домене, приведет к возможному угону (через атаку «человек посередине») или фиксации сеанса;это так же хорошо, как и уязвимость межсайтового скриптинга на сайте.

С другой стороны, дополнительные механизмы защиты, такие как флаги HttpOnly и Secure-Cookie, введенные в различные браузеры для защиты cookie-файлов сеанса различными способами, могутбольше не используется, когда сайт перезаписывает куки-файлы.

Answer 3

Я полагаю, что вы имеете в виду сеансы без файлов cookie . Хотя я видел, что это упоминается как «переписывание URL» в кругах Java.

Есть некоторые дополнительные проблемы перехвата сеансов (и они применимы ко всем средам веб-разработки, которые поддерживают сеансы без файлов cookie - не только JSP). Но перехват сеанса возможен даже с помощью файлов cookie.

Вот довольно хорошая статья в MSDN о сеансах без файлов cookie и рисках / преимуществах. Опять же, все они независимы от платформы.

http://msdn.microsoft.com/en-us/library/aa479314.aspx (внизу)