Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

针对网站的session和cookie会话攻击的防御办法



       这一部分内容的重中之重是session和cookie,客户在安全使用app系统时,如何根据客户

的身份提供不同的功能和相关数据,每个人都有这样的体验。例如,访问淘宝,不会把自己喜

欢的商品加入别人的购物车,如何区分不同的客户?打开任何网站,抓住包看,cookie的字段

都存在。cookie伴随着客户的操作自动提交给服务器方面,想区分认证前和认证后来到客户方

面,用户认证成功后可以在cookie上写上标志,服务器在处理请求时判断该标志即可。
 
 
对于logo的设置,如果直接将客户称直接以明确或加密的方式放置在cookie中,如果加密方式

被破解,则可能伪造客户的身份,因此在cookie中直接插入客户的身份信息是不可取的。对于

客户身份的设置,还有session机制,在用户认证成功后,将客户的个人信息和身份信息写入

session,在cookie中的表现只出现sessionID,服务器方面通过该sessionID在服务器上找到

指定的数据,敏感的数据存在于服务器方面,sessionID的值是随机字符串,攻击者很难推测

其他用户的sessionID,从而伪造客户的身份。当我们安全使用xss漏洞时,我们都喜欢获得客

户的cookie。获得cookie后,最重要的字段是sessionID。有了他,我们可以伪造他人的身份

并获得他人的数据。
 
 
根据会话内容,可以完成以下操作:
 
作业1:通过搜索引擎,寻找可以注册的几个网站,burp抓住包分析注册后的对话是如何实现的,

是否用session保存用户信息,token是否可以伪造,是否在cookie保留用户信息等。作业2:基

于以前的作业,开发的登录认证页面,认证成功后,对不同的账户设定不同的权限,分别用co

okie和session来显示客户的身份,测试不同的显示方式可能存在的安全风险。
记录测试过程

和结果、相关代码和设计构想形成报告,共享,共同探讨。
分享: