Предотвращение фиксации сессии в Java

У меня есть веб-приложение, написанное на Java. Мы не используем сессии в процессе аутентификации. Было выполнено сканирование приложения, и было обнаружено, что у нас есть возможность атаки с фиксацией сеанса. Мне интересно, когда мы не используем сессию, как вы можете исправить или предотвратить фиксацию сессии? Это то, что говорит отчет сканирования FORTIFY

The following changes were applied to the original request:
• Added parameter 'Cookie_abcxyz.com-443' with the following value 'R3777273810'
• Removed cookie 'Cookie_abcxyz.com-443'

Request/Response:
GET / HTTP/1.1
Content-Length: 43
Accept: */*
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: myportal.abcxyz.com
Cookie_abcxyz.com-443=R3777273810
HTTP/1.1 200 OK
Set-Cookie: Cookie_abcxyz.com-443=R3777273810; path=/
Content-Length: 11211
Date: Mon, 13 Feb 2012 17:08:14 GMT
Server: abcxyz
Cache-Control: no-cache
Content-type: text/html

1 ответ

Решение

Мы не используем сеансы в процессе аутентификации.... Мне интересно, когда мы не используем сеанс

Это не имеет значения. Я предполагаю, что вы используете управление сеансами для своего сервера. Этот отчет об ошибке указывает на то, что вы не проверяете строку запроса для идентификаторов сеансов.
Посмотрите здесь несколько примеров того, как вас могут атаковать: Фиксация сессии

ОБНОВИТЬ:
Я подозревал, что вы не использовали стандартный контейнер. Я не могу сказать вам, что вы действительно должны делать, так как вы не поместили никакого кода, но из вашего описания и того факта, что вы получили отчет для такого обнаружения, проблема что вы разрешаете перезапись URL, и злоумышленник может использовать его для "кражи" сеанса, передавая известный идентификатор сеанса.
Говоря в общем, то, что вы должны сделать, это после того, как пользователь вошел в систему, затем сделать текущий сеанс недействительным и создать новый на месте. В результате уже "украденный" идентификатор не может быть повторно использован.

А так как информации, которую вы предоставляете в посте, так мало, вам следует потратить некоторое время на изучение некоторых из следующих понятий, чтобы определить ту часть кода, которая вызывает проблемы:
OWASP 1
OWASP 2
OWASP 3
Сеанс Java Secure SO
ASP также
Интересная статья о фиксации сессии
Некоторые утилиты HTTP из OWASP, которые вы могли бы использовать
Фиксация сессии в Java
Безопасное управление сессиями

Другие вопросы по тегам