会话管理隐患与防御 总结

  1. 云栖社区>
  2. 博客>
  3. 正文

会话管理隐患与防御 总结

技术小阿哥 2017-11-28 21:33:00 浏览1047
展开阅读全文
  • 什么是会话控制

    • SESSION

    • COOKIE

    • 服务器记录用户凭证的一个变量。是一个时域(从用户登录到注销的时间域)

    • 指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)

    • Web开发人员要在无状态的HTTP协议下进行状态维持和控制用户的一次会话需要引入其它的机制,这就是 会话管理

    • 在人机交互,会话管理是保持用户的整个会话活动的互动与计算机系统跟踪过程。会话管理分类:桌面会话管理、浏览器会话管理、Web服务器的会话管理(通常指的SESSION以及COOKIE)。

    • 会话控制包括什么


  • 会话控制存在的隐患

    • 中间人攻击

    • 注射式攻击

    • 获取用户登录凭证

    • 通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信双方缺毫不知情。(Eg:A和B通信,C通过ARP欺骗A和B,使A认为C是B,使B认为C是A,C通过转发A和B的通信数据,是A和B保持连接,这样C就可以监听A和B的通信内容,获取敏感信息。)

    • 不会改变会话双方的通讯流,而是在双方正常的通讯中插入恶意数据。(Eg:SQL注入)

    • 通过修改服务器发给自己的cookie是服务器误认为自己是另一外一个用户。(基本不可能。。。)

    • 通过XSS等手段获取对方的登录凭证并且通过修改自己的cookie,是自己可以登录对方的会话。

    • Cookie

    • Session

    • 会话劫持

  • 防御

    • 会话加密

    • 关闭浏览器的第三方cookie

    • 对用户可以接触并修改的数据进行过滤


本文转自 nw01f 51CTO博客,原文链接:http://blog.51cto.com/dearch/1791504,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
技术小阿哥
+ 关注