session漏洞:知道别人的sessionid就能强制访问需登录的页面
www.example.com不论是部署在tomcat5或6下按以下步骤均可强制登录:
www.example.com/secure.jsp是一个需要登录才能访问的页面
1. 用firefox登录该页面,然后用firebug查看cookie中的sessionId,比如等于XXX123
2. 用IE9访问链接www.example.com/secure.jsp;jsessionid=XXX123,无法查看,但当把cookie设置为禁用时
则可以访问到该页面。(说明先从cookie中查找sessionId,如果没有再用链接中的jsessionid,很自然的逻辑)
3. 换台电脑用IE8访问www.example.com/secure.jsp;jsessionid=XXX123,不论是否禁用cookie均访问成功
疑问:
1. 通过抓包工具很容易看到别人的sessionId,这样通过附加jsessionid且不是能为所欲为
2. 为何IE8不禁用cookie也能成功,难以理解 (chrome不同版本竟然也类似于IE9/8)
这个安全漏洞大家关注过么,如何解决?