仅在第一次请求时拥有 Jsessionid 的漏洞是什么

Question

最近，我们从 URL 中删除了 jsessionid，进行了基于 cookie 的会话管理，以防止“会话劫持攻击”，

但我们发现，当启用 cookie 时，第一个请求 URL 始终具有 jsessionid，而后续请求 URL 则没有 jsessionid。

使用第一个网址中的 jsessionid 我们可以直接访问工作流程中的其他页面

问题：是否存在仅在第一个请求时暴露 jsessionid 的安全漏洞？

有一个解决方案可以从第一个请求中删除 jsessionid ，但想要检查一下，是否真的很容易强制进行更改，

谢谢 J

编辑：我的疑问得到了澄清。感谢您的回复。

Answer 1

您在此处所做的操作可以在一定程度上提高解决方案的整体安全性，但不一定能防止会话劫持。

将会话 ID 放在 URL 中的安全问题是 URL 会暴露在各个位置（例如，复制和粘贴 URL 可能会暴露实时会话，URL 可能存储在代理服务器日志、Web 服务器日志和浏览器历史记录中），这可能允许攻击者获取有效的会话 ID 并访问您的用户数据。

理想情况下，您应该从 URL 中的所有位置删除 JSESSIONID，并且仅使用 cookie 存储。

此外，如果您想减轻会话劫持，还需要考虑许多其他方面。

您需要在传递会话 ID 的所有页面上使用 SSL（这是为了降低会话 ID 在传输过程中被截获的风险（例如 Firesheep 攻击）。

如果在对用户进行身份验证之前设置了会话 ID，则您可以应确保在用户登录时发出新的会话 ID。

应该使用 httpOnly 和 secure 标志，以减少它们通过明文通道泄露的风险。

此外，如果可能的话，会话 cookie OWASP 站点

顺便说一句，如果您对安全方面有更多疑问，这里有一个专门用于解决问题的堆栈交换站点位于 Security.stackexchange.com

Answer 2

基于cookie的会话管理来防止“会话劫持攻击”

什么阻止cookie被劫持？

会话管理是服务器端的事情 - 您需要服务器来检查（基于 cookie）用户是否已登录。

说实话，我认为您根本没有提高这里的安全性，请看一下这篇优秀文章了解原因。

Answer 3

如果有人掌握了会话 ID，那么他们几乎劫持了整个会话，请参阅 可预测的会话 ID 漏洞。