JBoss에서 실행중인 Java 웹 응용 프로그램에서 특정 유형의 세션 하이재킹 인 Session Fixation을 방지해야합니다. 그러나 표준 관용어 doesn't work in JBoss이 나타납니다. 이 문제를 해결할 수 있습니까?JBoss에서 세션 고정 해결
답변
This defect (찾은 것 here)는 해결책을 제시합니다. JBoss에서 실행되는 Tomcat 인스턴스는 기본값 인 "false"대신 emptySessionPath = "true"로 구성됩니다. 이것은 .../deploy/jboss-web.deployer/server.xml
에서 수정할 수 있습니다. HTTP 및 AJP 커넥터 모두이 옵션을 갖습니다.
이 기능 자체는 JSESSIONID 쿠키에 컨텍스트 경로 (예 : http://example.com/foo의 "foo")가 포함되지 않도록하기 위해 사용됩니다. 이 값을 false로 설정하면 일부 포털 프레임 워크를 사용하여 작성된 항목을 포함하여 응용 프로그램 간 인증에 의존하는 응용 프로그램이 중단됩니다. 그러나 문제의 응용 프로그램에 부정적인 영향을주지는 않습니다.
이 문제와 그와 관련된 특별한 경우는 Tomcat뿐만 아니라 JBoss에서도 문제가됩니다. Tomcat은 emptySessionPath = "true"효과를 공유합니다. 실제로는 JBoss가 Tomcat에서 상속합니다.
세션 고정 공격을 막으려 고하지만 서블릿 스펙 (적어도 버전 2.3 이상)에서 특정 논리에 따라 JSESSIONID를 정의하거나 다시 정의 할 필요가없는 경우 Tomcat 및 JBoss의 버그와 같은 것으로 보입니다. 아마도 이것은 이후 버전에서 정리되었습니다.
한 가지 해결 방법은 클라이언트 주소를 세션에 저장하는 것입니다. 응답 랩퍼는 세션에 설정된 클라이언트 주소가 세션에 액세스하는 주소와 동일한 지 검증해야합니다.
제안은 세션 하이재킹, 세션 고정을 구체적으로 다루지는 않습니다. –
아래 코드 네임 중 하나에서 코드 설정 스 니펫을 알게되었습니다. 그리고 나는 아래 줄을 추가했다. 하지만 응용 프로그램에 로그인하기 전과 후에 세션 ID를 인쇄 할 때도 동일합니다. 어떻게 세션 고정 테스트 것입니다.
D : \ jboss-5.1.0.GA \ bin \ run.cof 파일에 다음 행을 추가하십시오. 세트 "JAVA_OPTS = % JAVA_OPTS % -Dorg.apache.catalina.connector.Request.SESSION_ID_CHECK = 거짓"JBoss의 각 애플리케이션의 context.xml에
. D : \ jboss-5.1.0.GA \ 서버 \ 기본 \ 배포 \ jbossweb.sar \ context.xml에 내가 보스 6.1와 협력 단지이 문제를 공격하고있어
- 1. 세션 고정
- 2. JBoss에서 트랜잭션이없는 최대 절전 모드 세션
- 3. 고정 세션 대 공유 위치
- 4. ASP.NET 4.0 세션 고정 공격
- 5. JBoss에서 사용자 정보 bean 만들기
- 6. JBoss에서 flashvars를 사용할 수 있습니까?
- 7. 위치 해결 방법 : iOS (iPhone/iPad)의 하단 툴바로 고정
- 8. Jboss에서 전쟁 전개 - MAVEN
- 9. JBoss에서 server.log를 지우는 방법?
- 10. JBoss에서 가상 호스트 설정
- 11. JBoss에서 프록시 액세스
- 12. JBoss에서 RMI 서버를 노출합니까?
- 13. JBOSS에서 클래스 로딩
- 14. Jboss에서 jar 배포
- 15. JBoss에서 클래스 로딩 순서
- 16. JBOSS에서 데이터 소스 생성
- 17. JBOSS에서 Hibernate 버전을 업그레이드하십시오.
- 18. IBM HTTP SERVER에서 고정 세션 구성을 수행하는 방법은 무엇입니까?
- 19. JMS 큐에서 ActiveMQ의 고정 세션 (메시지 그룹) 구현
- 20. 메모리가 고정 (고정) 되었습니까?
- 21. JBoss에서 IP 주소를 기록하는 방법
- 22. JBoss에서 스레드 덤프가 생성되지 않음
- 23. JBoss에서 "적절한 배포자를 기다리고 있습니까?"
- 24. jboss에서 webapp의 일반 오류 페이지
- 25. JBoss에서 "이미 등록되었습니다"java.lang.IllegalStateException을 수정해야합니까?
- 26. 클러스터링을 사용하여 JBoss에서 작업 예약
- 27. Jboss에서 Axis2.jar 충돌이 발생했습니다.
- 28. JBoss에서 클래스를 핫 리로드하는 방법
- 29. java.lang.NoClassDefFoundError 얻기 : Jboss에서 필터 예외
- 30. jboss에서 URL을 다시 작성하는 방법
. 내 server.xml에는 emptySessionPath 옵션이 없습니다. 그렇다면 버전 6.1에서는 어떻게 될 수 있습니까? –
누구든지 관심이있는 경우 해결책을 찾았습니다. 이 스레드에서 @ Rp-의 답을 찾으십시오. http://stackoverflow.com/questions/11028145/listening-for-login-events-in-jboss-as-6 –