JBossで実行されているJava Webアプリケーションで、特定のタイプのセッションハイジャックを防ぐために、Session Fixationを防ぐ必要があります。しかし、それは標準のイディオムdoesn't work in JBossと思われる。これを回避することはできますか?JBossでのセッション固定の解決
答えて
This defect(見つけたhere)は、溶液への道を示す。 JBossで実行されるTomcatインスタンスは、デフォルトである "false"ではなく、emptySessionPath = "true"で設定されます。これは.../deploy/jboss-web.deployer/server.xml
で変更できます。 HTTPコネクタとAJPコネクタの両方にこのオプションがあります。
フィーチャ自体は、JSESSIONIDクッキーにコンテキストパス(例:http://example.com/fooの "foo")が含まれないようにするために使用されます。これをfalseに設定すると、アプリケーション間認証(一部のポータルフレームワークを使用して構築されたものを含む)に依存するアプリケーションが中断されます。しかし、問題のアプリケーションに悪影響を及ぼすことはありませんでした。
この問題とそれが発生する特定のケースは、TomcatとJBossの問題です。 TomcatはemptySessionPath = "true"エフェクトを共有します(実際にはJBossはTomcatから継承します)。
セッション固定攻撃を防ぐために、サーブレット仕様(少なくともバージョン2.3以降)ではJSESSIONIDを特定のロジックに従って定義または再定義する必要はありませんが、これは実際TomcatとJBossのバグのようです。おそらく、これは後のバージョンでクリーンアップされているかもしれません。
解決策の1つは、セッションにクライアントアドレスを格納することです。レスポンス・ラッパーは、セッションに設定されているクライアント・アドレスがセッションにアクセスしているものと同じであることを検証する必要があります。
あなたの提案は一般的なセッションハイジャックに役立ちます。特にセッション固定については対処していません。 –
私は4mのうちの1つからコード設定スニペットを知りました。そして私は以下の行を追加しました。しかし、アプリケーションにログインする前とログインする前にセッションIDを表示すると同じです。どのように私はセッションの固定をテストするだろう。
D:\ jboss-5.1.0.GA \ bin \ run.cofファイルに以下の行を追加してください。 jbossアプリケーションの各context.xmlに「JAVA_OPTS =%JAVA_OPTS%-Dorg.apache.catalina.connector.Request.SESSION_ID_CHECK = false」、
を設定します。 D:\ jboss-5.1.0.GA \サーバー\デフォルト\展開\ jbossweb.sar \ context.xmlに
- 1. Springセキュリティでのセッション固定
- 2. セッションリプレイとセッションの固定とセッションのハイジャック
- 3. Jbossデータソース設定の問題を解決する
- 4. セッションの固定 - フォーム認証
- 5. Asp.netセッション固定(ASP.NET_sessionid)
- 6. 固定クラスタの固定セッション属性名の設定
- 7. CloudFrontでカスタムパスからS3固定ページを解決する
- 8. JBossのSpringとセッションのタイムアウト
- 9. Jboss EAP 6.5で同じクラスのClassCastExceptionを解決するには
- 10. JBoss AS 7.1のセッション数
- 11. Jboss 5. HttpOnlyセッションCookie
- 12. centering div固定位置 - 解決策なし
- 13. JBoss Switchyardの注釈が解決されない
- 14. JBOSS EAP 7.0でシステムプロパティが解決されない
- 15. Jboss 5.1セッションのタイムアウトが効かない
- 16. ドメイン固有のオントロジーからのエンティティ解決
- 17. コントローラで未定義の解決プロパティ
- 18. AngularJS:UI-ルータの設定で解決約束
- 19. MVC 5のセッション固定攻撃はまだ問題です
- 20. 解析固定幅ファイル
- 21. Node.jsセッション固有ミドルウェアのユニットテスト
- 22. PHPセッションと固有のユーザートークン
- 23. 特定のページでのセッションの破棄と設定解除
- 24. JBossの5 - 解読スタックトレース
- 25. 固有値をGPUで解決する - CUDA
- 26. JBOSSの設定
- 27. JSP:セッションをタイプに解決できません
- 28. PHPセッションがすべてのセッションを設定解除します
- 29. ダイナミックCSS3の幅を決定するDIV幅固定列幅
- 30. HttpOnlyフラグでセッション固定攻撃を防止できますか?
私は、JBoss 6.1と連携し、ちょうどこの問題をヒットしています。 server.xmlにはemptySessionPathオプションはありません。では、バージョン6.1ではどのようにこれを行うことができますか? –
誰かが興味があれば、私は解決策を見つけました。このスレッドで@ Rp-の答えを探してください:http://stackoverflow.com/questions/11028145/listening-for-login-events-in-jboss-as-6 –