JavaSpring中的会话劫持
我有一个关于劫持会话变量的问题。让我们假设我们有一个由SpringSecurity支持的web应用程序,我登陆到一个页面上,服务器端存储了一堆会话变量。现在,会话变量通常不能完全从客户端访问。客户端是否有办法在保持当前会话变量不变的情况下将页面重新定向到另一个web应用程序(使用恶意服务器端脚本) 我的印象是,如果原始web应用程序没有重大缺陷,这是不可能的 无论如何,问题是:是否有可能在不更改web应用服务器端内容的情况下窃取Spring Security支持的web应用的会话变量JavaSpring中的会话劫持,java,spring,session-hijacking,Java,Spring,Session Hijacking,我有一个关于劫持会话变量的问题。让我们假设我们有一个由SpringSecurity支持的web应用程序,我登陆到一个页面上,服务器端存储了一堆会话变量。现在,会话变量通常不能完全从客户端访问。客户端是否有办法在保持当前会话变量不变的情况下将页面重新定向到另一个web应用程序(使用恶意服务器端脚本) 我的印象是,如果原始web应用程序没有重大缺陷,这是不可能的 无论如何,问题是:是否有可能在不更改web应用服务器端内容的情况下窃取Spring Security支持的web应用的会话变量 编辑:使用
编辑:使用TLS如果客户端/服务器通信不使用SSL,则可以嗅探会话ID。任何不利用任何类型的客户机-服务器通信加密的框架都应该是这样 客户机也可能被重定向到另一个web应用程序。这是XSS攻击(跨站点脚本)的一部分。有两种类型的XS。存储和反射
您可以在此处找到更多详细信息您不能“窃取”会话变量。但是,您可以窃取一个人的会话cookie,并有效地成为该用户。e、 g.如果我偷了你的网上银行会话ID,那么我现在“登录”到你的网上银行,就像你一样。我不知道你的密码,我不知道你的用户名,但因为我偷了你的会话,我不需要…有趣的是,我会调查XSS。