0
私たちのセキュリティチームは、セッションの固定に脆弱であることを示すスキャンを実行しました。ドキュメントによって、Tomcatではcontext.xmlにchangeSessionIdOnAuthentication設定を使用する必要があることがわかりました。WebSphere 8.5のchangeSessionIdOnAuthentication?
WebSphere 8.5ではどのような動きがありますか?
A
答えて
0
私はWAS 8.5でも同じ問題がありました。 Springセキュリティを使用してセッション固定問題を構成しました。
<security:session-management invalid-session-url="/login" session-authentication-error-url="/login" session-fixation-protection="newSession">
<security:concurrency-control error-if-maximum-exceeded="true" max-sessions="1" expired-url="/login"/>
関連する問題
- 1. WebSphere 8.5のアクティブ・スレッド
- 2. Websphere 8.5セッションクッキーの問題
- 3. Oracle 12c with Websphere 8.5移行の問題
- 4. Websphere 8.5:ルート例外はorg.eclipse.jst.j2ee.commonarchivecore.internal.exception.DeploymentDescriptorLoadException:WEB-INF/web.xml
- 5. WebSphere 8.5でJDBCデータソースを検索
- 6. myEclipseを使用したJEE 6/WebSphere 8.5のリソースファイルNotFoundException
- 7. websphere 8.5で自分のjavaを使用する方法。
- 8. WebSphere 8.5 Liberty Profileをプログラムで構成する方法は?
- 9. Websphere Liberty 8.5をリモートでプロダクションモードで表示する
- 10. TCL 8.5 Fedoraは22
- 11. zlibとActiveTcl 8.5とのインターフェース?
- 12. Crystal Reports 8.5ネットワークファイルの保存
- 13. デフォルトのスキーマを指定するWebSpehere 8.5 Server
- 14. Vb.net 8.5 x 11paper to webform
- 15. MS Deployツールキットを使用せずにIIS 8.5をIIS 8.5に移行する
- 16. IIS 8.5で後続のスラッシュの問題
- 17. スタートアップ時のIIS 8.5構成(Azure webrole)
- 18. Lotus Notes 8.5のテストを自動化
- 19. のWebsphere(Log4jの)
- 20. Websphere 7のPerf4j?
- 21. WebSphere MQのメッセージグループ
- 22. websphereのCronジョブ
- 23. IBM WebsphereのConnectionWaitTimeoutException
- 24. のWebsphere MQメッセージ
- 25. websphereのJMSキュー
- 26. websphereのSpring commonj.Workmanager
- 27. websphere EJSLocalWrapper
- 28. Webspereで例外アプリケーションを開始しています。8.5
- 29. WebSphere 7.0のJMSブリッジ
- 30. Websphereのスクリプティング7 RAD
彼らは、WebSphereまたはTomcatをスキャンしましたか?アプリケーションセキュリティとセッションセキュリティの統合を使用している場合(8.5ではデフォルトで有効)、脆弱ではありません。 – Gas
@Gas彼らはアプリケーションをスキャンします。あなたのアプリのURLを提供するセキュリティプログラムです。さまざまな脆弱性を検出しています。結果のいくつかはB.Sですが、これは正当なものの1つです。私はTomcatがインターネットによればこの機能を持っているのを見ることができますが、WASやWASのどこにいるのか分かりません。 – user1187719