0
보안 취약점을 검토중인 Java 코드가 있습니다. 이 코드는 Apache Struts 프레임 워크를 사용하여 개발되었습니다. 세션 시간 초과가 코드에서 설정되지 않습니다. 내가 아는 바로는, 프레임 워크에 의해 설정된 기본 세션 타임 아웃 값이없는 한 과도한 세션 타임 아웃 취약점을 나타냅니다.Struts의 기본 세션 시간 초과 값은 무엇입니까?
보안 취약점을 검토중인 Java 코드가 있습니다. 이 코드는 Apache Struts 프레임 워크를 사용하여 개발되었습니다. 세션 시간 초과가 코드에서 설정되지 않습니다. 내가 아는 바로는, 프레임 워크에 의해 설정된 기본 세션 타임 아웃 값이없는 한 과도한 세션 타임 아웃 취약점을 나타냅니다.Struts의 기본 세션 시간 초과 값은 무엇입니까?
세션 시간 초과를 명시 적으로 설정하지 않았으므로 getMaxInactiveInterval()
메소드 HttpSession 인터페이스를 사용하여 struts에서 세션 시간 초과 값을 가져올 수 있습니다.
코드 : 도움 Rohit에 대한
HttpSession session = ServletActionContext.getRequest().getSession();
int timeout = session.getMaxInactiveInterval();//Returns the maximum time interval, in seconds
감사합니다. 나는 당신이 언급 한 것을 이해했다. 그래서 문제는 session.setMaxInactiveInterval()이 코드의 어디에서나 사용되지 않는다는 것이다. 이 외에도 .xml 파일에는가 없습니다. 이것은 타임 아웃을 의미하지 않습니까? –
기본 시간 제한이 있어야합니다. 위의 코드를 사용하여 시간 제한을 설정할 수 있습니다. 서블릿과 동일합니다. 즉 30 분입니다. –