Перехват сеанса в Java Spring

У меня есть вопрос относительно перехвата переменных сеанса. Предположим, у нас есть веб-приложение, поддерживаемое Spring Security, и я попал на страницу с кучей переменных сеанса, хранящихся на стороне сервера. Теперь переменные сеанса обычно недоступны только со стороны клиента. Есть ли способ для клиента каким-либо образом перенаправить страницу в другое веб-приложение (с вредоносными серверными сценариями), сохраняя при этом текущие переменные сеанса?

У меня сложилось впечатление, что это невозможно без существенных недостатков оригинального веб-приложения.

Во всяком случае, возникает вопрос: возможно ли украсть переменные сеанса веб-приложений, поддерживаемых Spring Security, без внесения каких-либо изменений в содержимое веб-приложения на стороне сервера?

Изменить: использование TLS


java spring session-hijacking
person user1836155    schedule 15.12.2014    source источник
comment
вы не можете украсть переменные сеанса. Но вы можете украсть файл cookie сеанса человека и эффективно СТАТЬ этим пользователем. например если я украду ваш идентификатор сеанса онлайн-банкинга, то теперь я войду в ваш онлайн-банкинг, как и вы. Я не знаю ни вашего пароля, ни вашего имени пользователя, но поскольку я украл вашу сессию, мне не нужно...   -  person Marc B    schedule 16.12.2014

Ответы (1)


arrow_upward
2
arrow_downward

Если связь между клиентом и сервером не использует SSL, тогда да, можно перехватить идентификатор сеанса. Это должно быть в случае с любой структурой, которая не использует какое-либо шифрование связи клиент-сервер.

Клиент также может быть перенаправлен на другое веб-приложение. Это часть атаки XSS (межсайтовый скриптинг). Существует два типа XSS. Сохраняется и отражается.

Вы можете найти более подробную информацию здесь Межсайтовый скриптинг

person Rami Del Toro    schedule 15.12.2014
comment
Интересно, я посмотрю на XSS. - person user1836155; 02.01.2015