SpringSecurity如何防御会话固定攻击

た入场券 2022-11-20 08:20 109阅读 0赞

## 前提 ##

会话固定攻击就是因为会话不变，给了黑客可乘之机；黑客将自己访问系统时的JSESSIONID发给系统用户，让系统用户“被迫”使用该JSESSIONID来访问系统，如果用户在JSESSIONID的有效期内登录了系统，就会使对应的session变为认证通过的session，从而黑客再次访问系统时，也会被系统当成认证通过的用户。

注意有两个要点：

1：系统用户带着黑客发给自己的JSESSIONID访问系统；（可以将JSESSIONID放入请求头中，也可以将JSESSIONID拼接在url的后面）

2：登录前后会话不变；（匿名访问系统和认证通过访问系统时，使用的是同一个JSESSIONID（也是同一个session））

## SpringSecurity对会话固定攻击的防御主要体现在以下两个方面 ##

1、限制访问系统时，带JSESSIONID的方式

SpringSecurity中的HTTP防火墙StrictHttpFirewall，会拒绝请求地址中带有“；”的请求；这样以来，就阻止了黑客将JSESSIONID拼接在url的后面来进行会话固定攻击；但是黑客将JSESSIONID放入请求头中来进行会话固定攻击时，还是防御不了，这就需要使用下面介绍的防御方式了。

2、既然会话不变是造成会话固定攻击的本质，那么就让会话变一下

![image.png][]

通过上图可以看到，在这里，springsecurity有四个选项：

*  migrateSession： 表示在登录成功之后，创建一个新的会话，然后将旧的 session 中的信息复制到新的 session 中，**「默认即此」**。
 *  none： 表示不做任何事情，在登录成功之后，继续使用旧的 session。【这种情况下，会话是不变的，无法防御会话固定攻击】
 *  changeSessionId：表示在登录成功之后，session 不变，但是会修改 sessionid，这样以来黑客手里的sessionid在服务器中就找不到对应的session了，也相当于改变了session；这实际上用到了 Servlet 容器提供的防御会话固定攻击。
 *  newSession 表示在登录成功之后，创建一个新的 session。

## 结论 ##

综合以上，我们就了解了SpringSecurity对防御会话固定攻击所做的工作；默认情况下，对于防御会话固定攻击，我们什么都不用做，springsecurity已经为我们做好了。

[image.png]: /images/20221120/22e6b8ba6af0429d8d5b3668952f310b.png