解决springboot项目shiro框架下的AppScan漏洞会话标识未更新问题

刺骨的言语ヽ痛彻心扉 2024-04-17 22:11 14阅读 0赞

## 最近做的一个springboot项目 + shiro框架，在做安全漏洞检查时爆出了一个安全漏洞：会话标识未更新。用的扫描工具是IBM的AppScan。 ##

要解决会话标识未更新的安全问题，就需要在做登录验证时生成新的session，所以需要先将原来的session失效。

一般的解决方法如下：

public void login(HttpServletRequest request, ...){
             // 让旧session失效
             request.getSession(true).invalidate();
             //登录验证
        }

还有一种方案：

在登录页面上加上一段代码：
    request.getSession().invalidate();//清空session
    Cookie cookie = request.getCookies()0;//获取cookie
    cookie.setMaxAge(0);//让cookie过期

然后用户再输入信息登录时，就会产生一个新的session了。

\----------------------------------------------------------------------------------

但是，如果使用了shiro框架，这样做会报错：...httpSession has been already invalidated。原因是shiro对HttpSession进行了一层包装，你直接让原生的session失效，没有通知shiro，shiro再去使用session时就会报错了。  
最终的解决方法，不要使用原生的失效方法，而是使用shiro自己提供的api方法：SecurityUtils.getSubject().logout();

### 最终方案如下： ###

public Map<String, Object> login(HttpServletRequest request, String username, String password) {
        
            // 让旧session失效，这一句代码一定要放在登录验证的最前面
            SecurityUtils.getSubject().logout();
            // 登录验证
            ......
            
        }

## 本次针对 Appscan漏洞 **会话标识未更新** 进行总结，如下： ##

1.1、攻击原理

在认证用户或者以其他方式建立新用户会话时，如果不使任何现有会话标识失效，攻击者就有机会窃取已认证的会话，此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。

1.2、APPSCAN测试过程

AppScan会扫描“登录行为”前后的Cookie，其中会对其中的会话信息进行记录，在登录行为发生后，如果cookie中这个值没有发生变化，则判定为“会话标识未更新”漏洞

1.3、修复建议（目前只是Apache Shiro安全框架下的修复建议）

若使用的是Apache Shiro安全框架，可使用SecurityUtils.getSubject().logout()方法,参考：[http://blog.csdn.net/yycdaizi/article/details/45013397][http_blog.csdn.net_yycdaizi_article_details_45013397]

[http_blog.csdn.net_yycdaizi_article_details_45013397]: http://blog.csdn.net/yycdaizi/article/details/45013397