634Labs - プログラミング・システム開発のあれこれ

セッションIDのふりなおし(Java, J2EE, resin)

目的

ユーザーのログイン前後で同じセッションIDが使われているのを、ログインのタイミングで新しいセッションIDを使うようにする。セッション・ハイジャック対策。

セッション・ハイジャックについて

セッションを用いたログイン管理を行なっているアプリケーションにおいて、攻撃者が用意したセッションIDをリクエストに含まされた正規の利用者が、正規の手順でログインすることで、不正なセッションIDを用いたログイン認証が行われてしまう。

環境

言語：java(J2EE)
サーバー：resin(http://www.caucho.com/)

結論

${RESIN_HOME}/conf/resin.confのsession-configに、

<reuse-session-id>false</reuse-session-id>

を追加。

流れ

某ECサイトで、ログイン前後で（というか、cookieの期限がすぎるまで）、同一のセッションIDがずっと使いまわされていることが判明。
↓
ソースチェック。ログイン処理の際に、セッション無効化処理がコーディングされていることを確認。ということは、アプリケーションじゃなくて環境の問題？

request.getSession().invalidate();

↓
ローカルでデバッグしてみたら、セッションIDがふりかわっていることを確認。
↓
少し考えた末に、ローカルはTomcat, サーバではResinを使用していることを思い出す。
↓
ドキュメントチェック
↓
発見（http://www.caucho.com/resin-3.0/config/webapp.xtp#session-config）
↓
設定追加

<reuse-session-id>false</reuse-session-id>

↓
完成！

というわけで、

・サーバ上だとデバッグしにくい。

J2EE

メモ

• J2EEのトランザクション

メモ – J2EEのトランザクション

JTA/JTS

EJBのトランザクション

Springのトランザクション

• カテゴリ

  • Java (481)
    • Ant (2)
    • Apache Cayenne (1)
    • Apache Commons (16)
    • Apache POI (1)
    • Apache Struts (19)
    • Apache Tapestry (1)
    • Apache log4j (2)
    • AspectJ (1)
    • Click Framework (1)
    • CruiseControl (1)
    • DbUnit (1)
    • Guice (8)
    • Hibernate (10)
    • HtmlUnit (1)
    • HttpUnit (1)
    • J2EE (3)
    • JAXB (1)
    • JFreeChart (4)
    • JNDI (1)
    • JSF (8)
    • JSP (20)
    • JSTL (3)
    • JUnit (1)
    • Jakarta Cactus (1)
    • Java API for XML Processing (16)
    • Java Servlet (11)
    • Java Web Services Developer Pack (1)
    • Java Work (40)
    • Pager Tag Library (1)
    • Resin (1)
    • Rhino (5)
    • SLF4J (1)
    • ServletUnit (1)
    • SpringFramework (7)
    • StrutsTestCase for JUnit (1)
    • Torque (3)
    • Velocity (8)
    • XMLUnit (1)
    • XStream (1)
    • iBATIS (2)
    • jMock (1)
    • その他 (82)
  • JavaScript (69)
    • MochiKit (3)
    • Prototype (1)
    • script.aculo.us (1)
    • その他 (7)
    • ゲームを作る (6)
  • PHP (113)
    • ADOdb (1)
    • CakePHP (3)
    • Eclipse for PHP Developers (3)
    • GD (2)
    • Jettable (1)
    • MicroMVC (1)
    • Mojavi (4)
    • PDO (5)
    • PEAR (11)
      • PEAR::Auth (1)
      • PEAR::Calendar (1)
      • PEAR::HTML_QuickForm (3)
      • PEAR::Log (1)
      • PEAR::Net_UserAgent_Mobile (1)
      • PEAR::Text_CAPTCHA (1)
    • PHPUnit (4)
    • Smarty (8)
    • XAMPP連携 (2)
    • cURL(Client URL Library) (4)
    • phpDocumentor (4)
    • symfony (9)
    • 正規表現 (1)
  • Ruby (32)
    • Ruby on Rails (12)
  • XML (57)
  • iPhone開発 (17)
    • 基礎 (12)
    • データ保存 (2)
    • 画像・マルチメディア (2)
    • 応用 (1)
  • Objective-C (10)
  • ソフトウェア開発 (247)
    • Eclipse (18)
    • FindBugs (1)
    • Hudson (1)
    • Maven, Maven2 (2)
    • SWEBOK (1)
    • Selenium (1)
    • Winstone (1)
    • Xcode (15)
    • pmbok (1)
    • trac (2)
    • アジャイル開発 (3)
    • アスペクト指向(Aspect-Oriented) (1)
    • アルゴリズム (32)
    • アーキテクチャ (32)
    • エクストリーム・プログラミング(XP) (1)
    • オブジェクト指向（OO） (10)
    • コーディング規約 (1)
    • スクレイピング (1)
    • ソフトウェアテスト (1)
    • ツール (2)
    • バージョン管理システム (20)
      • CVS (11)
      • Git (3)
      • Subversion (6)
    • パターン・原則 (77)
      • GRASP (10)
      • アンチパターン (1)
      • デザインパターン (64)
        • GoFデザインパターン (22)
        • おこさまデザインパターン (24)
        • コアJ2EEパターン (16)
    • モバイルサイト開発 (1)
    • リファクタリング (13)
    • 品質管理(Quality Control) (1)
    • 技術メモ (6)
    • 能力成熟度モデル統合(CMMI) (1)
  • iOS SDK (11)
  • Perl (19)
    • ActivePerl (1)
  • Ajax (1)
  • Flash (27)
    • ActionScript3.0 (17)
    • Flex2 (27)
    • MXML (4)
  • Microsoft (137)
    • .NET (16)
      • VB.NET (2)
    • ASP (24)
    • C# (22)
    • NAnt (1)
    • VB (27)
    • VBA (41)
    • Visual SourceSafe(VSS) (3)
    • WSH (2)
    • ado (11)
  • データベース (116)
    • MySQL (7)
      • パフォーマンスチューニング (2)
    • PostgreSQL (2)
    • SQLite (1)
    • oracle (85)
      • oo4o (10)
      • plsql (37)
    • sql (20)
  • HTML (7)
    • HTML5 (1)
    • css (4)
  • Google (57)
    • Android (4)
    • Google App Engine (4)
    • GoogleAppEngine (2)
    • Googleデスクトップガジェット (13)
    • iGoogle (1)
  • OS・Server (34)
    • .htaccess (1)
    • Linux (14)
    • OpenLDAP (1)
    • Tomcat (2)
    • UNIX (7)
    • Windows (4)
    • XAMPP (1)
    • iOS (9)
  • WEBサービス・API (64)
    • Amazon (1)
    • FC2 (1)
    • Google Maps API (1)
    • GoogleChartAPI (1)
    • Seesaaブログ (1)
    • Twitter (1)
    • Yahoo (17)
    • YouTube API (2)
    • ウィジェット (3)
  • オープンソース (2)
    • OpenPNE (1)
    • osCommerce (1)
  • Webデザイン (1)
    • Photoshop (1)
  • 未分類 (1)

• プロフィール

  @hacker634
  へなちょこシステムエンジニア。Java,PHP,C#,JS,Objective-C,DB,なんでも好きです。ヘビーな言語もLLも全部好き。SIer→受託屋→フリーランス→ちびっこWEB開発会社勤務（いまココ）担当は、ディレクション、アーキテクト、設計、開発、テスト、保守、研究、雑用、デザイン。つまり、なんでも屋。 Follow @hacker634

• 最近の投稿

  • 空のディレクトリ（フォルダ）を一括リストアップ／削除する – Linux
  • XAMPP環境にSQLiteManagerをインストール
  • ファイル/ディレクトリの権限・所有者を一括変更する – Linux
  • シーケンスの扱い（作成・インクリメント・再設定） – PostgreSQL
  • ビルドしたアプリケーションをapp storeに申請する(itunesconnect)

• リンク

  • ネイルサロンポータルサイトnailco
  • ダンス教室ガイド