会话信息必须在服务器端,会话技术

1、 C/S架构和B/S架构随着 智能终端出现,界限越来越模糊

2、 需要重点关注C/S架构里面的自定义协议的会话管理,和B/S架构里面的会话管理

3、 会话分成四个阶段:认证前会话,会话生成,会话维持,会话销毁

4、 认证前会话攻击:DDos攻击,将多个计算机联合起来作为攻击平台,对服务器攻击

阻断正常网络通讯,

提交大量请求,使服务器超负荷。

阻断某一用户访问服务器

阻断某服务与特性系统或者个人的通讯

防范方法: 缩小系统使用范围,比如仅限局域网使用,上班时内部IP可以访问,限制同一用户多度使用。

5、 会话生成问题,长度不够,算法不安全

6、 TOMCAT只要改context.xml里面的配置,PHP也只需要改php.ini即可

7、 B/S应用中,认真通过后必须更换会话标识,要有退出界面,会话要有超时机制

8、会话劫持攻击:嗅探

9、免费WIFI很危险,很容易被窃取账号

10、会话劫持:XSS攻击:攻击者写代码,服务端出发后发送cookie信息到指定服务器。

11、 会话劫持预防:加密通道, B/S使用httponly属性,B/S应用正确设置secure,域和路径

12、CSRF跨站请求访问伪造例子:论坛一个钓鱼链接, http://xxxxbank.com?transferto=Alice&money=1000,如果银行敏感操作无验证

真实案例:乌云微博刷粉事件

通过token防御,token是安全随机的,必须是有效期的,长度不低于24

13、会话维持问题:会话不能写到url里面例如: http://xxx.com/indexhtml:jsessionid=1234

不能把会话写到日志里面(用户退出前被人看到有风险)

隐藏域(input type = hidden)

14、 防范错误:避免URL重写,隐藏表单, 使用cookie作为会话跟踪基础

15、会话信息必须维护存储在服务端, 否则

http://xxx.com?userid=001,用户可以通过改ID , 导致会话信息泄露

16、会话维持问题:服务器需要结合sesssion id和IP进行身份验证

17、异常情况下,比如关闭浏览器时候没有通知会话销毁

18、服务端需要设置超时时间,定时检测时间,定时清理超时会话

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值