爆破专栏丨Spring Security系列教程之会话管理之防御固定会话攻击_简述会话管理有哪些防御功能_防固定会话攻击原理

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

我们知道HTTP是无状态的协议，这意味着每次客户端检索网页时，都要单独打开一个服务器连接，因此服务器不会存储先前客户端请求的任何信息。

**HTTP 本身的无状态使得用户在与服务器的交互过程中，每个请求之间都没有关联性。这意味着用户的访问没有身份记录，站点也无法为用户提供个性化的服务，而Session的诞生解决了这个难题。**服务器通过与用户约定，发起每个请求时都要携带一个id类的信息，从而让不同请求之间有了关联，而id又可以很方便地绑定具体用户，所以我们可以把不同请求归类到同一用户。**基于这个方案，为了让用户每个请求都携带同一个id，在不妨碍体验的情况下，cookie是很好的载体。**当用户首次访问系统时，系统会为该用户生成一个sessionld，并添加到cookie中。在该用户的会话期内，每个请求都自动携带该cookie，因此系统可以很轻易地识别出这是来自哪个用户的请求。

**尽管cookie 非常有用，但有时用户会在浏览器中禁用它，这么做可能是出于安全考虑，也可能是为了保护个人隐私。**在这种情况下，基于cookie实现的 sessionld 自然就无法正常使用了。因此，有些服务还支持用 URL重写的方式来实现类似的体验，例如：http://yyg.com;jsessionid=xxx。URL 重写原本是为了兼容禁用cookie的浏览器而设计的，但也容易被黑客利用。黑客只需访问一次系统，将系统生成的sessionld提取并拼凑在URL上，然后将该URL发给一些取得信任的用户。只要用户在session有效期内通过此URL进行登录，该sessionld就会绑定到用户的身份，黑客便可以轻松享有同样的会话状态，完全不需要用户名和密码，这就是典型的会话固定攻击。

我们只需在两个浏览器中用同一个账号登录就会发现，默认情况下，我们的系统并未有任何会话并发的限制，也就是一个账户能在多处同时登录，这并不是一个好的策略。而Spring Security已经为我们提供了完善的会话管理功能，包括会话固定攻击、会话超时检测以及会话并发控制。

3. HttpSession

**HttpSession 是一个服务端的概念，服务端生成的 HttpSession 都会有一个对应的 sessionid，这个 sessionid 会通过 cookie 传递给前端，前端以后每次发送请求的时候，都会带上这个 sessionid 参数。**服务端看到这个 sessionid 就会把这个前端请求和服务端的某一个 HttpSession 对象对应起来，形成“会话”的感觉。

浏览器关闭并不会导致服务端的 HttpSession 失效，想让服务端的 HttpSession 失效，要么手动调用 HttpSession#invalidate()方法，要么等到 session 自动过期，要么重启服务端。

**但是为什么有的人会感觉浏览器关闭之后 session 就失效了呢？**这是因为浏览器关闭之后，保存在浏览器里边的 sessionid 就丢了(默认情况下)。所以当浏览器再次访问服务端的时候，服务端会给浏览器重新分配一个 sessionid，这个 sessionid 和之前的 HttpSession 对应不上，所以用户就会感觉 session 失效。

但是我们也可以通过手动配置，让浏览器重启之后 sessionid 不丢失，但是这样会带来安全隐患，所以一般不建议。

以 Spring Boot 为例，服务端生成 sessionid 之后，返回给前端的响应头是这样的：

在服务端的响应头中有一个 Set-Cookie 字段，该字段指示浏览器更新 sessionid，同时大家注意还有一个 HttpOnly 属性，这个表示通过 JS 脚本无法读取到 Cookie 信息，这样能有效的防止 XSS 攻击。

下一次在浏览器中发送对某个接口的请求时候，就会自觉的携带上这个 jsessionid 了：

二. 防御会话固定攻击

1. URL重写

在上面的小节中，我给大家提到了URL重写的概念，那URL重新到底是怎么回事呢？

URL重写(URL rewriting)，其实就是先获得一个进入的 A URL，然后把 A URL 重新写成网站可以处理的另一个 B URL 的过程。

举个例子，如果通过浏览器进来的 A URL是“/show.do?ID=1”，那么它可以被重写成“/show/1.do” 这样的URL，这样的网址可以更好的被网站所阅读。

另外如果浏览器不支持Cookie或用户阻止了所有的Cookie，我们可以把SessionID附加在HTML页面中所有的URL后面，比如http://yyg.com;jsessionid=xxx，然后把这些页面作为响应发送给客户。这样，当用户请求URL时，SessionID会被自动作为请求行的一部分，而不是作为头行发送回服务器，这也是URL重写。

URL重写是一种位于服务器端的操作，URL重写不需要往返服务器。重写的URL不会被返回客户端，也不会出现在浏览器地址栏。比如/resource 重写到 /different-resource 时，客户端会请求 /resource ，而服务器会在内部提取 /different-resource 处的资源。客户端能够检索到已重写的URL处的资源，但是客户端发出请求并收到响应时，并不会知道已重写URL处存在的资源。

2. 会话固定攻击

我们在上面讲了什么是URL重写，知道 URL重写 原本是为了兼容禁用cookie的浏览器而设计的，但是很多技术都有两面性，URL重写其实存在被黑客利用的风险，其中黑客较为常用的一种攻击手段就是会话固定攻击(session fixation attack)。

一般情况，只要我们不关闭浏览器，并且服务端的 HttpSession 也没有过期，那么维系服务端和浏览器的 sessionid 是不会发生变化的。而会话固定攻击，则是利用这一机制，借助受害者用相同的会话 ID 获取认证和授权来进行攻击。黑客只需访问一次系统，将系统生成的sessionld提取并拼凑在URL上，然后将该URL发给一些取得信任的用户。只要用户在session有效期内通过此URL进行登录，该sessionld就会绑定到用户的身份上，黑客便可以轻松享有同样的会话状态，完全不需要用户名和密码。这种利用会话 ID 劫持受害者的会话以成功冒充受害者的攻击方式，就是所谓的会话固定攻击。

一般来说，会话固定攻击的流程是这样，以淘宝为例：

1. 攻击者自己可以正常访问淘宝网站，在访问的过程中，淘宝网站给攻击者分配了一个 sessionid；
2. 攻击者利用自己拿到的 sessionid 构造一个淘宝网站的链接，并把该链接发送给受害者；
3. 受害者使用该链接登录淘宝网站(该链接中含有 sessionid)，登录成功后，一个合法的会话就成功建立;
4. 攻击者利用手里的 sessionid 冒充受害者。

在这个过程中，如果淘宝网站支持 URL 重写，那么攻击还会变得更加容易。

3. Spring Security的防御机制

其实在Spring Security中，即便我们不做什么特别的配置，也不用担心会被会话固定攻击。**这是因为Spring Security中自带的HTTP防火墙机制会帮助我们拦截不合法的URL，**当我们视图访问带有sessionId的URL时，实际上会被重定向到类似于下图中：

Spring Security 之所以可以实现上述防御效果，主要是从以下三个方面来完成：

**「首先」**会利用StrictHttpFirewall 防火墙，如果发现请求地址中带有 “;”，则该请求会被直接拒绝；
**「然后」**就是响应的 Set-Cookie 字段中有 HttpOnly 属性，这种方式会避免通过 XSS 攻击来获取 Cookie 中的会话信息，进而达成会话固定攻击。
**「最后」**则是让 sessionid 改变一下。既然问题是由于 sessionid 不变导致的，那我们就让 sessionid 变一下，利用Spring Security提供的防御会话固定攻击的策略即可实现。

4. 防御会话固定攻击的策略

我在上面分析了防御的实现机制，其中第三步就是更改sessionid，这种策略是抓住了 会话固定攻击的根源，即在于会话的 sessionid 不变！如果用户在未登录时拿到的是一个 sessionid，登录之后服务端给用户重新换了一个新的 sessionid，就可以防止会话固定攻击了。

而在Spring Security中，防御会话固定攻击的方法则非常简单，我们只需要在用户登录之后重新生成新的session即可。在我们编写的SecurityConfig类继承WebSecurityConfigurerAdapter时，Spring Security默认已经启用了该配置，主要是利用SessionManagement这个配置器来实现，并且提供了防御会话固定攻击的4种策略。

1. none:  该策略对会话不做任何变动，登录之后会沿用旧的session;
2. newSession: 用户登录后会创建一个新的session；
3. migrateSession: 默认策略，用户登录后创建一个新的session，并将旧session中的数据复制过来；
4. changeSessionId: 表示 session 不变，不会创建新的session，但是会修改 sessionid，内部使用由Servlet容器提供的会话固定保护。

默认的防御策略是 migrateSession ，在用户匿名访问的时候是一个 sessionid，当用户成功登录之后，又是另外一个 sessionid，这样就可以有效避免会话固定攻击。

三. 代码实现

上面讲解了这么多的底层原理，接下来壹哥就带各位进行代码的具体实现，创建项目的过程，请参考我之前的案例，具体过程这里就不再详细展示了。

1. 创建测试接口

为了方便后面的测试，这里还是创建几个测试接口。

@RestController
public class UserController {

    @GetMapping("/user/hello")
    public String helloUser() {

        return "hello, user";
    }

    @GetMapping("/admin/hello")
    public String helloAdmin() {

        return "hello, admin";
    }

    @GetMapping("/app/hello")
    public String helloApp() {

        return "hello, app";
    }
    
    @RequestMapping("/logout")
    public void logout(HttpSession session){
        session.invalidate();
        System.out.println("logout执行了...");
    }

}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

2. 配置会话策略

定义一个SecurityConfig类，在这里配置会话生成策略，主要是在sessionManagement中进行配置。

/**
 * 会话管理设置
 */
@EnableWebSecurity(debug = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**")
                .hasRole("ADMIN")
                .antMatchers("/user/**")
                .hasRole("USER")
                .antMatchers("/app/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .csrf()
                .disable()
                .formLogin()
                .permitAll()
                .and()
                .logout()
                .logoutUrl("/logout")
                //注销成功，重定向到该路径下
                .logoutSuccessUrl("/login")
                //使得session失效
                .invalidateHttpSession(true)


### 如何自学黑客&网络安全


#### 黑客零基础入门学习路线&规划


**初级黑客**  
 **1、网络安全理论知识（2天）**  
 ①了解行业相关背景，前景，确定发展方向。  
 ②学习网络安全相关法律法规。  
 ③网络安全运营的概念。  
 ④等保简介、等保规定、流程和规范。（非常重要）


**2、渗透测试基础（一周）**  
 ①渗透测试的流程、分类、标准  
 ②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking  
 ③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察  
 ④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等


**3、操作系统基础（一周）**  
 ①Windows系统常见功能和命令  
 ②Kali Linux系统常见功能和命令  
 ③操作系统安全（系统入侵排查/系统加固基础）


**4、计算机网络基础（一周）**  
 ①计算机网络基础、协议和架构  
 ②网络通信原理、OSI模型、数据转发流程  
 ③常见协议解析（HTTP、TCP/IP、ARP等）  
 ④网络攻击技术与网络安全防御技术  
 ⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现


**5、数据库基础操作（2天）**  
 ①数据库基础  
 ②SQL语言基础  
 ③数据库安全加固


**6、Web渗透（1周）**  
 ①HTML、CSS和JavaScript简介  
 ②OWASP Top10  
 ③Web漏洞扫描工具  
 ④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）  
 恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k


到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？


如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！


**7、脚本编程（初级/中级/高级）**  
 在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.


如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

**8、超级黑客**  
 这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。  
 ![img](https://img-blog.csdnimg.cn/img_convert/3fd39c2ba8ec22649979f245f4221608.webp?x-oss-process=image/format,png)


#### 网络安全工程师企业级学习路线


![img](https://img-blog.csdnimg.cn/img_convert/931ac5ac21a22d230645ccf767358997.webp?x-oss-process=image/format,png)  
 如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的


视频配套资料&国内外网安书籍、文档&工具


当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

![img](https://img-blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-process=image/format,png)  
 一些笔者自己买的、其他平台白嫖不到的视频教程。  
 ![img](https://img-blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-process=image/format,png)





**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
![img](https://img-blog.csdnimg.cn/img_convert/71b80d08c4b6410b92ddec9ec4671a71.png)

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

c5198d3c161b37e8.webp?x-oss-process=image/format,png)





**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
[外链图片转存中...(img-FKoD26KI-1713622071382)]

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137