0
如果我没有在Web应用程序中使用session="false"指令在登录页面,将在jSESSIONID登录页面本身创建。JSP指令会话=“假”
也可以通过使用创建的jSESSIONID来破解应用程序并访问文件,而不需要登录验证,只需通过登录页面即可。
您的回复非常感谢。
感谢,普拉迪普摹
A
回答
1
这里是一个可能的攻击向量:
您打开登录页面,但不登录,因为它是午饭时间。
坏演员走进你的办公室,写下你的JSESSIONID。
午餐后,你登录。这JSESSIONID现在是有用的。
坏演员可以使用JSESSIONID从自己的浏览器,看看你的会话。
解决方案:
创建一个全新的JSESSIONID成功登录后(以便从之前验证一个并不突然变得有价值)。
相关问题
- 1. Jsp会话值
- 2. JSP页面指令
- 3. JSP会话问题
- 4. JSP会话内存?
- 5. JSP中的会话
- 6. JSP使用include指令
- 7. JSP include指令标签
- 8. JSP c:不处理指令
- 9. 错误在JSP taglib指令
- 10. JSP中的会话问题
- 11. JSP中的会话属性
- 12. 在jsp/struts中的会话
- 13. 在JSP中销毁会话
- 14. JSP会话不使用servlet
- 15. JSP会话和Bean混淆
- 16. JSP会话不为空
- 17. Memcache /会话与GAE和JSP
- 18. 从servlet访问JSP会话
- 19. JSP中的会话变量
- 20. 会话JSP按钮点击
- 21. jsp会话重定向
- 22. 会话属性在JSP中
- 23. 的处理JSP会话
- 24. 解决JSP会话注销
- 25. USERNAME PRINTING NULL; javabeans,jsp会话
- 26. 最佳实践:断言指令()==假
- 27. 会话cookie仅Http假轨3.1
- 28. 设置注销无效会话为假
- 29. 为什么JSP指令被称为指令?
- 30. Youtube会话令牌