Web 应用安全验证标准之二 -- 会话管理Session

最新推荐文章于 2024-05-23 14:06:20 发布
最新推荐文章于 2024-05-23 14:06:20 发布
阅读量555 收藏 1
点赞数
分类专栏: 安全性测试

Item

验证内容

等级

 

1

2

3

 

V2.1

验证应用系统使用的是框架自带的会话管理机制。

V

V

V

 

V2.2

验证当用户注销时,服务器会销毁session。

V

V

V

 

V2.3

验证当经过一段时间的闲置未操作时,应用系统会自动注销会话。

V

V

V

 

V2.4

验证在所有需要认证才能访问的页面上都存在注销功能。

V

V

V

 

V2.5

验证session id只存在于cookie字段中,而不会泄漏在URL、错误信息以及日志中。

V

V

V

 

V2.6

验证用户注销时session id会被清除或改变。

V

V

V

 

V2.7

验证应用系统使用“httponly”属性保护cookie不被JS脚本读取。

V

V

V

 

V2.8

验证应用系统使用“secure”属性保护cookie只在加密通道中传输。

V

V

V

 
 

V2.9

验证应用系统会在用户登录后改变session id来防止会话定置攻击。

 

V

V

 

V2.10

验证应用系统会在用户进行二次身份认证后改变session id。

 

V

V

 

V2.11

验证应用系统只使用框架产生的session id。

 

V

V

 

V2.12

验证应用系统使用的session id具有足够的长度、复杂度和随机性。

 

V

V

 

V2.13

验证使用cookie进行身份验证的会话令牌是否将其路径设置为该站点的适当限制值。不应设置域cookie属性限制,除非是针对业务需求,如单点登录。

 

V

V

 
 

V2.14

验证应用系统不允许在不同的机器上同时并发相同的session。

 

V

V

 

V2.15

验证可通过管理接口配置session最长有效期,当session超过有效期时会被强制注销。

 

 

V

 
一杯咖啡的时间
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于web应用程序安全验证
weixin_33694172的博客
06-13 162
通常对于一般的web应用程序,都是自己写验证,输入用户名和密码,然后到数据库去验证,然后返回。但是对于安全性要求较高的应用,自己写的安全验证则会出现许多没考虑到的地方,这时应该使用安全框架。         我使用的是struts框架,服务器是weblogic8.14,配置了基于FORM的验证方式,具体配置如下:         1、目录结构:根目录文件:index.jsp,login.htm...
Web 应用安全验证标准之一 --身份认证验证
一杯咖啡的渗透记忆
04-18 609
No 验证内容 等级 1 2 3 v1.1 验证除了认定可以公开的资源,其它资源需要登录认证后才能访问。 V V V v1.2...
Web安全测试指南--会话管理
weixin_30639719的博客
03-03 165
 会话复杂度:   5.3.2、会话预测:   5.3.3、会话定置:  5.3.4、CSRF:   5.3.5、会话注销:   5.3.6、会话超时: 转载于:https://www.cnblogs.com/fousor/p/10466928.html...
Web安全】认证与会话管理
RexHa的博客
12-14 1092
Web开发中,网站访问量如果比较大,维护Session可能会给网站带来巨大负担。因此,有一种做法,就是服务器端不维护Session,把Session放在Cookie中加密保存。当浏览器访问网站时,会自动带上Cookie,服务器端只需要解密Cookie即可得到当前用户的Session
Web会话管理安全问题
weixin_42081313的博客
06-11 1366
Web会话管理安全问题
Web安全基础:HTTP、会话管理
qq_43642093的博客
03-17 7392
前言 一、HTTP与会话管理 1.HTTP消息 2.会话管理 2.1 POST方法 2.2 hidden参数 2.3 无状态的HTTP认证 2.4 Cookie与会话管理 前言 首先介绍HTTP协议和会话管理,然后讲述浏览器的安全性功能之一,也是理解跨站脚本等主要安全隐患的原理的必备知识——同源策略。 一、HTTP与会话管理 ...
聊聊Web应用会话管理
成长日记
12-14 177
http连接是无状态的,但web程序交互中经常又需要状态。所以目前流行的基本是Cookie,Session结合方式来管理,Cookie中会带一个会话标识,如果不用cookie,可能会将会话标识跟在地址栏后面。但也有不通过Session这样方式的,使用自定义的方式来维护状态。但有一点一定要注意,不能用递增的明码ID来做会话状态标识,危险性太大。下面举例说明。   前些时间,发现有个网站,是fla...
Web会话管理
最新发布
qq_52712762的博客
05-23 829
web会话管理
011-Web安全基础7 - 会话管理漏洞.pptx
10-11
会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。
Web安全开发指南--会话管理
weixin_30387799的博客
01-06 88
1、会话管理 3.1、会话管理安全规则 1 避免在URL携带session id。 2 使用SSL加密通道来传输cookie。 3 避免在错误信息和调试日志中记录session id。 4 使用框架自带的或业界公认的安全函数来生成session id(参考附录11.4)。 ...
应用安全系列之三十二:会话管理
jimmyleeee的专栏
04-13 649
Web应用基于HTTP协议实现的,但是,HTTP协议是无状态的【参考RFC2616section 5】,也就是说如果纯粹基于HTTP协议来实现一个应用,前后请求的消息就需要一个能够保持登录状态的东东,这个东东就是会话session】。由于HTTP是无状态,所以这个会话管理是通过Cookie来实现的,通常通过Cookie来管理的有标示会话ID用户登录之后获得的Token。 由于会话ID或者Token表示一个人已经登录而且可以根据自己的权限在网站内畅游,所以,他也就成了攻击者的目标。以前,出现过的会.
Web 安全之不安全会话管理
GitChat
07-03 1789
安全会话管理相对 Owasp Top 10的漏洞来说是一个较为冷门的话题,因为即使存在不安全会话管理也并不能直接证明系统存在安全漏洞;所以对于这类问题白帽子即使发现了也不会报告,而开发者或许并不知道这样设计存在安全隐患,或者认为没有出现漏洞的情况下不会被触发,所以也并不当回事。 会话维持是基于 Cookie 和 Session,浏览器请求时候会在 Header 中发送 Sessionid,这个 ...
应用安全设计规范--模板
莫慌的博客
08-22 2105
应用安全设计规范的一个甲方模板,对新老系统的安全设计按照应用安全级别提供了一个管理规范
Web 应用安全会话实现和保持方式是什么?
路多辛的所思所想
04-21 1215
什么是会话管理会话管理是一种在无状态的 HTTP 协议上保持用户状态的技术, Web 服务器通过会话管理可以识别和跟踪用户的请求。为什么需要会话管理?由于 HTTP 协议本身不保存状态信息,所以服务器需要一种机制来区分不同用户的请求,以及在多个请求之间保持用户的状态信息。会话创建会话信息应该由服务器端创建,服务器端创建会话 ID 以及会话信息后存储起来,将会话 ID 返回给 Web 客户端存储。会话 ID应 该是随机的、不可预测的,并且有足够的熵。会话 ID 通常是通过安全的随机数生成算法生成。
第六章:会话管理
zgmzyr的专栏
08-28 1391
转载于:http://www.iteedu.com/webtech/j2ee/javaservletsbczn/6.php在本章中,我们将要讨论的是如何使用Servlet API来管理某个用户在多个HTTP请求中都要使用的数据。请注意HTTP是一个无状态协议,它不像TCP协议那样在会话过程中保持一个到服务器的连接。说明维护会话信息的重要性的经典例子是Internet网上购物系统。这里,系统必须保存每一个用户购物车里商品的列表。为了实现这一功能,服务器必须能够区分不同的客户,而且还要有一种为每一个客户存储数据
cookie 和 session 的区别
qq_24184997的博客
02-25 133
java 笔记 cookie 和 session 的区别 存在位置的区别 系统安全性 存储内容大小 session key 一般情况下存储在cookie中,session ID 用于标识用户,一般情况下 session 有效时间是30分钟和关闭浏览器失去登录态,session 失效 主要原因在于session id 失效。重新打开浏览器会重新获取新的session ID 。 为啥需要sessio...
Cookie,Session,JWT
m0_70273331的博客
05-03 3852
这里的客户端可以是常规的浏览器,也可以是接口测试工具,如Postman,JMeter,Burpsuite等,其中浏览器在得到服务器响应的set-cookie后,会将cookie信息保存到本地的浏览器缓存(一个文件)中,postman也可以自动保存服务器响应的set-cookie信息,但是JMeter,Burpsuite不会,它们需要人为手动保存。 客户端请求服务器时可以(不是必须)携带Cookie信息 客户端中,如浏览器,Postman可以自动检查自己保存的Cookie,找到其中有效的,存活的,将其加入到H
2021-07-23
qq_44028724的博客
07-23 690
安全测试-测试点 |缩略语| 全称 | |-CRLF-|–\r\n回车换行| | | | 缩略语 全称 LDAP Lightweight Directory Access Protocol 轻量级目录访问协议 MML man-machine language 人机交互语言 SessionID 标志会话ID Web Service Web服务是一种面向服务的架构的技术,通过标准Web协议提供服务,目的是保证不同平台的应用服务可以互操作。 SOAP Simple Object Access Protoc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值