So verhindern Sie den HTTP-Sitzungs-Flood-Angriff

Überschwemmungsangriff: Kurz gesagt, ein Hacker kann weiterhin den Server (ohne Cookie) treffen, um den Java-Container dazu zu zwingen, weiterhin eine neue Sitzung zu erstellen.

Ich verwende Spring Security, um die Sitzung zu verwalten. Ich realisiere, dass jsessionid vor der Anmeldung erstellt wird, das ist nicht das, was ich will.

Also tat ich:

1) im Frühjahr Sicherheitskonfiguration:

2) Deaktiviere die Session-Erstellung in JSP. Da ich Apache-Kacheln verwende, verwende ich deshalb dynamic include. Daher muss ich die Session-Erstellung in allen Jsp-Fragmenten deaktivieren. Das ist sehr mühsam.

Auf den ersten Blick ist es in Ordnung, aber es gibt ein Szenario, ich habe immer noch die Sitzung erstellt.

Nehmen wir an, ich besuche vor dem Login eine URL, die nur nach einer Authentifizierung aufgerufen werden kann. Spring leitet mich zur Anmeldeseite weiter.

Bevor ich umgeleitet werde, weist die Antwort bereits an, ein neues Cookie zu setzen, eine bereits erstellte Sitzung.

Meine Frage:

1) Ist Session Flood Attack ein ernstes Problem? Soll ich mich wirklich darum kümmern?

2) Gibt es einen besseren Weg, um mit diesem Problem umzugehen? Irgendeine beste Praxis?

3) Was passiert mit meinem Code? Es sollte eigentlich funktionieren, ich vermute, dass der Cookie von Spring erstellt wurde, obwohl ich ihn bereits auf SessionCreationPolicy.NEVER gesetzt habe. Ich kann es nicht auf Stateless setzen, ich brauche immer noch die Sitzung nach dem Login.

Ich bin mehr besorgt Sitzung Angriff im Vergleich zu DDOS tatsächlich, ich habe auch .maximumSessions(1) im Frühjahr, um mehrere Login zu verhindern. Aber das obige Problem passiert vor dem Login. Bitte helfen Sie. Danke.