La risoluzione di Fissazione di Sessione in JBoss

StackOverflow https://stackoverflow.com/questions/8318

  •  08-06-2019
  •  | 
  •  

Domanda

Ho bisogno di evitare Fissazione Di Sessione, un particolare tipo di dirottamento di sessione, in applicazione web Java in esecuzione in JBoss.Tuttavia, sembra che il linguaggio standard non funziona in JBoss.Questo può essere lavorato in giro?

È stato utile?

Soluzione

Questo difetto (trovato qui) indica la strada per la soluzione.L'istanza di Tomcat che corre in JBoss è configurato con emptySessionPath="true", piuttosto che "false", che è l'impostazione predefinita.Questo può essere modificato in .../deploy/jboss-web.deployer/server.xml;sia HTTP e AJP connettori hanno questa opzione.

La stessa caratteristica è utilizzato per eliminare il percorso di contesto (es."pippo" in http://example.com/foo) venga incluso nel JSESSIONID cookie.Impostando a false rompere le applicazioni che si basano su cross di autenticazione dell'applicazione, che comprende cose costruite utilizzando alcune portale quadri.Non influenzare negativamente l'applicazione in questione, tuttavia.

Altri suggerimenti

Questo problema e il caso specifico in cui si verifica un problema di Tomcat come JBoss.Tomcat condivide la emptySessionPath="true" effetto (e in realtà JBoss eredita da Tomcat).

Questo sembra davvero come un bug in Tomcat e JBoss quando si sta cercando di prevenire attacchi di fissazione di sessione ma specifiche servlet (almeno la versione 2.3), in realtà, non richiedono il JSESSIONID essere definito o ridefinito secondo la logica.Forse questo è stato ripulito e nelle versioni successive.

Una soluzione è quella di memorizzare l'indirizzo del client nella sessione.Una risposta wrapper deve validare l'indirizzo del client in sessione sia la stessa accedere alla sessione.

Sono venuto a sapere qui di seguito impostazione del codice snippet da uno del forum.E ho aggiunto di seguito le linee.Ma quando si stampa l'ID di sessione dopo e prima di effettuare l'applicazione è la stessa.Come posso sessione di test di Fissazione.

  1. D:\jboss-5.1.0.GA\bin un.cof file e aggiungere la riga sottostante.impostare "JAVA_OPTS=%JAVA_OPTS% -Dorg.apache.catalina.connettore.Richiesta.SESSION_ID_CHECK=false"

  2. in ogni context.xml le applicazioni jboss.D:\jboss-5.1.0.GA\server\default\deploy\jbossweb.sar\context.xml

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top