Spring Security 会话管理会话固定保护不起作用

Posted 2023-02-27

【中文标题】Spring Security 会话管理会话固定保护不起作用

【英文标题】：Spring Security session-management session-fixation-protection not working

【发布时间】：2012-05-25 03:14:03

【问题描述】：

我正在使用 Spring 3.1 安全性。以下是我的“spring-security.xml”的一部分

<session-management session-fixation-protection="migrateSession">
<concurrency-control max-sessions="1" expired-url="/Login.html"/>
</session-management>

虽然我设置了session-fixation-protection="migrateSession" 仍然如果我使用“Chrome 浏览器”登录然后复制 cookie 值并打开“Firefox 浏览器”并转到登录页面然后编辑 cookie 并从“Chrome 浏览器”粘贴值，然后我看到我已登录到我的应用程序。这意味着“会话固定攻击”是可能的！！！

我的 Spring 安全配置中是否遗漏了什么？

这只是我的以下配置文件

<http auto-config="false" access-denied-page="/" disable-url-rewriting="true">

<intercept-url pattern="/test01*" access="ROLE_USER" requires-channel="https"/>
<intercept-url pattern="/test02*" access="ROLE_USER" requires-channel="https"/>

<form-login login-page="/Login.html"/>
<logout invalidate-session="true"
        logout-success-url="/"
        logout-url="/logout"/>


<session-management session-fixation-protection="migrateSession">        
    <concurrency-control max-sessions="1" expired-url="/Login.html"/>
</session-management>

</http>

<authentication-manager>
<authentication-provider>
<user-service>    
<user name="a" password="a" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
</authentication-manager>

【问题讨论】：

Akash，你写过 UserPrincipal 和 UserPrincipalImpl 类吗？

不，我没有编写 UserPrincipal 和 UserPrincipalImpl 类。

发布您的部分代码，以便我们为您提供帮助

正如我在下面所说的，你应该只有一个 <session-management> 元素，但这是另一个问题。

【参考方案1】：

如果您在登录后复制了cookie（如您所说），那么这不是会话固定攻击（至少不是我们所防范的那种）。关键是当您登录时 cookie 会发生变化，因此其他人无法访问您的帐户。如果您想阻止某人修复已登录到其帐户的会话，那么这是另一回事，并且不能通过这种方式轻松保护。

此外，您不需要设置此属性，因为它默认启用。并且只需使用一个 <session-management> 元素。

【讨论】：

您好，感谢您的回复。我正在查看 Peter Mularien 的“Spring Security 3”一书。在这本书“第 6 章”第 173 页中，他执行了“模拟会话固定攻击”。我只是做了和他一样的事（我在我的帖子中解释过）。但他说他的一个正在工作，但我自己的项目没有工作:(

再读一遍 - “将会话 cookie 值复制到剪贴板，然后登录”......他从 Internet Explorer 在登录之前复制了 cookie。你说你登录然后复制cookie。只需检查登录时会话cookie是否发生变化。

:D 卢克你是对的。它正在改变。非常感谢。但是有什么办法可以防止登录后复制过去的cookie。

没有。但这不是现实的攻击。当您登录时，您不应该允许其他人访问您浏览器的 cookie 列表。并且您应该使用 HTTPS 来保护通过网络传输的会话 cookie。

【参考方案2】：

这是因为您提供了session-fixation-protection="migrateSession"。即来自 Chrome 浏览器的会话被复制到 Firefox 浏览器的会话中。此外，它不应该同时登录第二次。这可能是因为，如果您提供了自己的 UserPrincipal 和 UserPrincipalImpl 类，则必须覆盖 Object 的 equals() 和 hashCode() 方法。尝试让并发控制工作。

另请参阅my question。

【讨论】：

您好，感谢您的回复。我检查了您在同一时间一个用户登录时遇到并发控制问题的线程。但这不是我的问题。这个对我有用。我的问题是会话固定保护，即使我设置“newSession”仍然有同样的问题。可以复制过去的cookie，它可以在另一个浏览器中工作:(

@Akash。不，那不是会话固定攻击。两个会话不同，新会话迁移到旧会话。您登录了两次，而您应该只能登录一次。所以问题在于会话的并发

请查看我完整的 spring-config 文件代码。我还需要做什么来防止这种情况发生。顺便说一句，我尝试使用来自不同浏览器的相同用户帐户登录。第二次登录时，第一个消失了。然后只有第二次尝试处于活动状态。但是当登录后复制过去的cookie时，可以在不同的浏览器中成为同一用户:(