0
如果我没有在Web应用程序中使用session="false"
指令在登录页面,将在jSESSIONID
登录页面本身创建。JSP指令会话=“假”
也可以通过使用创建的jSESSIONID
来破解应用程序并访问文件,而不需要登录验证,只需通过登录页面即可。
您的回复非常感谢。
感谢,普拉迪普摹
如果我没有在Web应用程序中使用session="false"
指令在登录页面,将在jSESSIONID
登录页面本身创建。JSP指令会话=“假”
也可以通过使用创建的jSESSIONID
来破解应用程序并访问文件,而不需要登录验证,只需通过登录页面即可。
您的回复非常感谢。
感谢,普拉迪普摹
这里是一个可能的攻击向量:
您打开登录页面,但不登录,因为它是午饭时间。
坏演员走进你的办公室,写下你的JSESSIONID。
午餐后,你登录。这JSESSIONID现在是有用的。
坏演员可以使用JSESSIONID从自己的浏览器,看看你的会话。
解决方案:
创建一个全新的JSESSIONID成功登录后(以便从之前验证一个并不突然变得有价值)。