SV.SESSION.FIXATION.COOKIE

Cookie 应该能够有效抵御会话固定攻击

当使用受污染的值设置 JSESSIONID Cookie 时，Klocwork 会报告 SV.SESSION.FIXATION.COOKIE 缺陷。

漏洞与风险

通过在 Cookie 中使用受污染数据，攻击者可以将会话标识符设置为已知值，从而允许攻击者与受害者共享会话。随后攻击者无需授权便可访问敏感信息。

缓解与预防

避免在 JSESSIONID Cookie 中使用受污染数据。

漏洞代码示例

1
2
3
4
5
6
7
8
9
10
11
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.*;
import java.io.IOException;
 
public class Test {
 
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        String value = req.getParameter("value");
        Cookie cookie = new Cookie("jsessionid", value);  // SV.SESSION.FIXATION.COOKIE
    }
}

Klocwork 在第 9 行报告了 SV.SESSION.FIXATION.COOKIE 缺陷，因为在 Cookie 中使用来自请求的受污染数据设置会话 ID。

修正代码示例

1
2
3
4
5
6
7
8
9
10
11
12
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.*;
import java.io.IOException;
 
public class Test {
 
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        SecureRandom secureRandom = SecureRandom.getInstance("NativePRNG");
        long value = secureRandom.nextLong();
        Cookie cookie = new Cookie("jsessionid", value);
    }
}

Klocwork 不再报告 SV.SESSION.FIXATION.COOKIE 缺陷，因为 JSESSIONID Cookie 设置为随机值。

相关检查器

• SV.SPRING.FIXATION

外部指导

• CERT MSC11-J：不要让 servlet 内的会话信息泄漏
• CWE-384：会话固定
• OWASP A2:2017 失效的身份验证
• OWASP A7:2021 标识和身份验证失败
• V-222577 (APSC-DV-002230)：应用程序不能公开会话 ID。
• V-222578 (APSC-DV-002240)：应用程序必须在注销或浏览器关闭时销毁会话 ID 值和/或 Cookie。

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 已禁用的安全功能培训视频 - 用培训示例来检验您的技能