URL中允许sessionid导致的安全隐患分析

说明：下图是从测试团队发送的安全报告中截取的。图中有一些小问题。我想重画一个，但在visio中找不到合适的图形。所以我得用别人的照片。

注：我们来详细解释一下上面的步骤：1。黑客使用自己的帐户登录，假设登录页面是：http://www.abc.com/login.jsp2.服务器返回登录成功。3.黑客从cookie中检查他们的sessionid，如12344。黑客将他们的sessionid地址发送给普通用户。http://www.abc.com/login.jsp; Jsessionid=1234(不同的语言有不同的方式带来sessionid，但是方式是jsp)。5.用户在黑客给出的地址用自己的账号登录，登录成功。(此时用户的登录信息会覆盖黑客之前的登录信息，两个人使用同一个Session ID。) 6.黑客刷新页面时，看到的账号信息是用户的信息，而不是之前黑客自己账号的信息。预防：要预防这个问题，其实很简单，只需在用户登录时重置session (session.invalid()方法)，然后将登录信息保存在新的session中即可。后记：可能你跟我一样，这次才开始看，测试你能不能成功钓鱼。经过我的测试，你可以成功，但是在测试过程中，你应该注意以下问题：1。注意你使用的语言如何在网址中携带sessionid。(我在测试的时候，开始在URL中使用大写的jsessionid，总是没有效果。) 2.http://www.abc.com/login.jsp; Jsessionid=1234页面登录表单的动作也带有Jsessionid，否则没用。对于这个问题，你可能认为如果login.jsp表单的动作写死了而不是读当前的URL，这个钓鱼问题可能不会发生。这只能阻止一个方向。黑客可以制作一个和login.jsp一模一样的页面(比如http://www.abc1.com/login.jsp)，然后把这个地址发给一个客户，这个地址里的表单可以这样写：formaction=' http://www.abc.com/login.jsp; Jsessionid=1234 '.[[作者]:贝尔瑞(AK-47)[博客]: http://www.cnblogs.com/BearsTaR/.