1、 C/S架构和B/S架构随着 智能终端出现,界限越来越模糊
2、 需要重点关注C/S架构里面的自定义协议的会话管理,和B/S架构里面的会话管理
3、 会话分成四个阶段:认证前会话,会话生成,会话维持,会话销毁
4、 认证前会话攻击:DDos攻击,将多个计算机联合起来作为攻击平台,对服务器攻击
阻断正常网络通讯,
提交大量请求,使服务器超负荷。
阻断某一用户访问服务器
阻断某服务与特性系统或者个人的通讯
防范方法: 缩小系统使用范围,比如仅限局域网使用,上班时内部IP可以访问,限制同一用户多度使用。
5、 会话生成问题,长度不够,算法不安全
6、 TOMCAT只要改context.xml里面的配置,PHP也只需要改php.ini即可
7、 B/S应用中,认真通过后必须更换会话标识,要有退出界面,会话要有超时机制
8、会话劫持攻击:嗅探
9、免费WIFI很危险,很容易被窃取账号
10、会话劫持:XSS攻击:攻击者写代码,服务端出发后发送cookie信息到指定服务器。
11、 会话劫持预防:加密通道, B/S使用httponly属性,B/S应用正确设置secure,域和路径
12、CSRF跨站请求访问伪造例子:论坛一个钓鱼链接, http://xxxxbank.com?transferto=Alice&money=1000,如果银行敏感操作无验证
真实案例:乌云微博刷粉事件
通过token防御,token是安全随机的,必须是有效期的,长度不低于24
13、会话维持问题:会话不能写到url里面例如: http://xxx.com/indexhtml:jsessionid=1234
不能把会话写到日志里面(用户退出前被人看到有风险)
隐藏域(input type = hidden)
14、 防范错误:避免URL重写,隐藏表单, 使用cookie作为会话跟踪基础
15、会话信息必须维护存储在服务端, 否则
http://xxx.com?userid=001,用户可以通过改ID , 导致会话信息泄露
16、会话维持问题:服务器需要结合sesssion id和IP进行身份验证
17、异常情况下,比如关闭浏览器时候没有通知会话销毁
18、服务端需要设置超时时间,定时检测时间,定时清理超时会话