Благодарю . На самом деле я попробовал многопользовательский сценарий, где я извлек jsessionid из первого URL-адреса запроса, и данные сеанса были доступны для нескольких пользователей с одним и тем же jsessionid. спасибо
но мы удалили jsessionid из URL-адреса, который осуществлял управление сеансами на основе файлов cookie, чтобы предотвратить «атаку перехвата сессии».
Но мы обнаружили, что URL первого запроса всегда имеет jsessionid, когда куки включены, а URL следующего запроса НЕТ jsessionid.
используя jsessionid из первого URL, мы можем напрямую переходить на другие страницы рабочего процесса
Вопрос: существует ли какая-либо уязвимость в безопасности, раскрывающая jsessionid только при первом запросе?
Существует решение для удаления jsessionid из первого запроса, но он хотел проверить, действительно ли он уязвим для выполнения изменений
спасибо J
РЕДАКТИРОВАТЬ: я получил мои сомнения прояснилось. Спасибо за ответы.