session漏洞:知道别人的sessionid就能强制访问需登录的页面

如果换一个tomcat的版本,会不会出现这样的情况?
或者直接不要用cookie,直接用session,这样是否可行?
每个IE都会多多少少存在一些漏洞,或者跟本地的某个配置有关,或者跟某个插件有关,这些事不好说。

解决方案 »

  1.   

    是不是浏览器的漏洞不清楚,不过你加个URL重定向应该可以避免这个问题
      

  2.   

    跟浏览器没有关系,因为chrome也一样,另外url重定向不可取,因为有正常用户如果禁用了cookie是需要通过jsessionid访问的,不能重定向
      

  3.   

    现在一般处理这个问题都是登录后,重新更新session,象security那样重新生成一个session
    tomcat7应该是有改进这个漏洞,好像是加入了随机数,具体你可以看下tomcat7的新特性,防止session伪造攻击
      

  4.   

    重置session也没用啊,只要我想截获的那个人处于登录状态,就会在cookie中存在sessionid(不论你怎么变),我通过抓包工具抓到cookie得到最新的sessionid,就可以强制访问
      

  5.   

    只有自己实现sessionid机制,比如加盐绑定ip地址,但ip同样可以伪造 5555555555
      

  6.   

    if(user==null){
    请登录
    }
      

  7.   

    首先要能抓到sessionid才行。其次,一些重要的功能都有其他的验证方式,比如支付宝每次转账:有短信验证,安全证书验证,支付密码等等