网址重写 - 这会导致安全问题吗？

Posted 2023-02-24

【中文标题】网址重写 - 这会导致安全问题吗？

【英文标题】：Url Rewriting - Does that cause a security issue?

【发布时间】：2011-08-22 03:11:09

【问题描述】：

您好，我最近阅读了 JSP 并遇到了它的技术，主要是 session。在会话下，我阅读了 URL 重写 为保持与客户端的会话而完成的一种方法。但是由于 URL 重写会更改带有会话 ID 的 URL，并且它可以对客户端可见。 这不是安全问题吗？比方说，如果除了特定用户之外，任何人都记下了这个会话 ID，并且可以不好地使用它？或者有什么技术可以防止这些？

如有错误请指正。

【参考方案1】：

这是我在检查 OWASP 规范以进行 URL 重写时遇到的问题，它在 URL 中公开会话信息是一个日益严重的安全风险（从 2007 年的第 7 位到 2013 年 OWASP 前 10 名列表中的第 2 位）。

管理 URL 重写的选项包括：

在服务器级别禁用它们。 在应用程序级别禁用它们。 一个有吸引力的选择是 Servlet 过滤器。 过滤器使用替代版本包装响应对象，该版本将 response.encodeURL(String) 和相关方法更改为无操作。 （WEB4J 工具包括这样的过滤器。）

【参考方案2】：

这当然是一个安全问题。如果您很快注意到 jsessionid 值，无论是其他人错误地在公共复制粘贴的 URL 中，还是在公开发布的某些 HTTP 调试工具 (Firebug) 的屏幕截图中显示了请求/响应标头和相关网站通过登录来维护用户，那么您只需将jsessionid cookie 附加到 URL 或请求标头即可在同一用户下登录。很快，因为这些会话默认在 30 分钟不活动后过期。这称为session fixation 攻击。

您可以完全禁用 URL 重写，这样jsessionid 就不会出现在 URL 中。但是您仍然对会话固定攻击很敏感，一些黑客可能已经在公共网络中安装了 HTTP 流量嗅探器或通过某些木马/病毒，甚至使用 XSS 来了解这些 cookie。需要明确的是，此安全问题并非特定于 JSP、php、ASP 或任何通过基于 cookie 的会话维护登录的网站，对此也同样敏感。

为了真正安全地登录，让登录和登录流量通过 HTTPS 而不是 HTTP，并使 cookie 仅 HTTPS（安全）。

【讨论】：

说得好，但为什么这不是 JSP 特有的呢？

JSP HttpSession 由 jsessionid cookie 支持。 PHP $_SESSION 由 PHPSESSID cookie 支持。 ASP Session 由 ASPSESSIONID cookie 支持。如果您将登录用户存储在会话中，那么哪种语言更敏感并不重要。 JSP jsessionid 更多地出现在新闻中，因为一些 Java 服务器/框架默认打开了 URL 重写。

哦好的，我误会你说的了，谢谢回复

所谓的会话固定实际上称为会话劫持。劫持意味着攻击者使用受害者的会话 ID。会话固定意味着攻击者让受害者使用攻击者准备好的会话，例如通过让他们请求包含攻击者会话 ID 的链接。

能否请大家多了解一下“您可以完全禁用 URL 重写，以便 jsessionid 永远不会出现在 URL 中”

【参考方案3】：

大多数（如果不是全部）安全圈不鼓励对会话 cookie 进行 URL 重写。 OWASP ASVS 明确不鼓励使用它，因为它会导致会话标识符通过不安全的媒介暴露出来。

启用会话 cookie 的 URL 重写后，URL 可能会（与会话标识符一起）传输到其他站点，从而导致通过 HTTP 引荐标头泄露会话标识符。事实上，浏览器对位于另一个域的资源的简单请求将导致可能的劫持（通过中间人攻击）或会话固定；这与站点中的跨站点脚本漏洞一样好。

另一方面，当网站执行 cookie 的 URL 重写时，不能再使用其他保护机制，如引入到各种浏览器中的 HttpOnly 和 Secure-Cookie 标志，以不同方式保护会话 cookie。

【参考方案4】：

我相信您指的是 无 cookie 会话。尽管我在 Java 圈子中看到它被称为“url 重写”。

还有一些额外的会话劫持问题（它们适用于所有支持无 cookie 会话的 Web 开发框架，而不仅仅是 JSP）。但是即使使用 cookie，会话劫持也是可能的。

这是 MSDN 上一篇关于无 cookie 会话和风险/收益的非常好的深入文章。同样，这些都与平台无关。

http://msdn.microsoft.com/en-us/library/aa479314.aspx（朝向底部）