Überschwemmungsangriff: Kurz gesagt, ein Hacker kann weiterhin den Server (ohne Cookie) treffen, um den Java-Container dazu zu zwingen, weiterhin eine neue Sitzung zu erstellen.
Ich verwende Spring Security, um die Sitzung zu verwalten. Ich realisiere, dass jsessionid
vor der Anmeldung erstellt wird, das ist nicht das, was ich will.
Also tat ich:
1) im Frühjahr Sicherheitskonfiguration:
%Vor%2) Deaktiviere die Session-Erstellung in JSP. Da ich Apache-Kacheln verwende, verwende ich deshalb dynamic include. Daher muss ich die Session-Erstellung in allen Jsp-Fragmenten deaktivieren. Das ist sehr mühsam.
%Vor%Auf den ersten Blick ist es in Ordnung, aber es gibt ein Szenario, ich habe immer noch die Sitzung erstellt.
Nehmen wir an, ich besuche vor dem Login eine URL, die nur nach einer Authentifizierung aufgerufen werden kann. Spring leitet mich zur Anmeldeseite weiter.
Bevor ich umgeleitet werde, weist die Antwort bereits an, ein neues Cookie zu setzen, eine bereits erstellte Sitzung.
Meine Frage:
1) Ist Session Flood Attack ein ernstes Problem? Soll ich mich wirklich darum kümmern?
2) Gibt es einen besseren Weg, um mit diesem Problem umzugehen? Irgendeine beste Praxis?
3) Was passiert mit meinem Code? Es sollte eigentlich funktionieren, ich vermute, dass der Cookie von Spring erstellt wurde, obwohl ich ihn bereits auf SessionCreationPolicy.NEVER
gesetzt habe. Ich kann es nicht auf Stateless
setzen, ich brauche immer noch die Sitzung nach dem Login.
Ich bin mehr besorgt Sitzung Angriff im Vergleich zu DDOS tatsächlich, ich habe auch .maximumSessions(1)
im Frühjahr, um mehrere Login zu verhindern. Aber das obige Problem passiert vor dem Login. Bitte helfen Sie. Danke.
Ihr Punkt scheint gültig zu sein, es kann ein ernstes Problem sein, wenn es nicht behandelt wird. Ich habe festgestellt, dass es bereits ein offenes Thema zu diesem Thema gibt. Aber es gibt eine Arbeit zur Verfügung, um dieses Verhalten zu kontrollieren.
%Vor%Weitere Informationen finden Sie in den folgenden Links.
Wie Sie Spring Security davon abhalten, ein neues zu erstellen Sitzung?
Tags und Links security session spring spring-security cookies