《web应用安全》 cookie与会话管理

最新推荐文章于 2021-07-08 15:07:27 发布
最新推荐文章于 2021-07-08 15:07:27 发布
阅读量801 收藏 2
点赞数
分类专栏: 学习笔记 web应用安全学习 文章标签: web应用安全学习 cookie 会话管理 HTTP安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42368489/article/details/82817692
版权

cook与会话管理

会话管理

记住用户登陆后的认证状态是一种常见的需求,使用http认证能使浏览器记住id和密码,但是不使用http认证时,记忆认证状态的任务就交给了服务器,而像这种记忆应用程序状态的功能就叫做会话管理。

cookie

格式:cookie:phpsessid=会话id

cookie相当于服务器下达给浏览器的命令,让其记住发送给它的“名称=变量”这种格式的值。
1,最初显示页面时,返回的响应信息中含有cookie响应头信息,web服务器向浏览器下达了记住此cookie值的指示。
2.浏览器记住了cookie值,从此在向相同网站发送请求时,就会发送此cookie值

简单的来讲就是,你登陆一个网站输入个密码,服务器给你返回个cookie,每次在这个网站上进行操作的时候,就不用每次都输入密码,因为你每次的请求,浏览器会自动发送cookie和服务器进行认证。

会话id应满足的需求

不能被第三方推测
不能被第三方劫持(预防,认证后改变会话id)
不能被第三方泄露。

会话id泄露的原因
  • 发行cookie时的属性指定有问题
  • 会话id在网络上被监听
  • 跨站脚本漏洞等应用中的安全隐患被泄露
  • 会话id保存在url中的情况下,会通过referer消息头泄露

通常保护会话id不被监听,采用ssl加密

cookie的属性
属性含义
Domaincookie发送对象服务器的域名
pathcookie发送对象url的路径
Expirescookie的有效期限,未指定则表示至浏览器关闭为止
Secure仅在ssl加密的情况下发送cookie
HttpOnly指定了此属性的cookie不能被javaScript访问

涉及安全的3个重要属性为Domain Secure HttpOnly

cookie的Domain属性

在需要向多个服务器发送cookie时,就用到了Domain属性
假设 浏览器要给三个服务器发送
a.example.jp
b.example.jp
a.example.com
设置的cookie为:set-cookie:x=123;Domain=example.jp
指定domain为example.jp,因为没有指定example.com,后者就不会被发送.
如果在cookie中指定不同的域名,就可能发生会话固定攻击,所以cookie是不能指定不通域名的。
未指定domian属性时,cookie只会发送给生成它的服务器,发送范围小,也更安全。而设置domain属性时,稍有疏忽,就会产生安全隐患。
原则上不设置ciikie的domain属性

cookie的secure属性
设置了secure属性,的cookie尽在ssl传输的情况下,能够发送给服务器
未设置的 无关是否为ssl传输,都会发送
cookie的HttpOnly属性
给cookie添加httpOnly属性,在php.ini中添加如下设置
session.cookie_httponly = on

恶意使用javascript进行跨站脚本攻击,从而取得cookie信息,窃取会话id
,设置httpOnly属性可以加大其攻击难度。

菜鸟白帽
关注
专栏目录
java设置httponly,如何为java Web应用程序设置httponly和会话cookie
weixin_42662293的博客
02-12 619
Hi I am working on XSS(cross site scripting) issue. my application develop on oracle weblogic portal. we use Servlet 2.5 version.I have added below 3 lines of code in the filter for setting httponly...
011-Web安全基础7 - 会话管理漏洞.pptx
10-22
会话管理漏洞是Web安全领域中的一个重要话题,主要涉及用户会话安全维护。这种漏洞让攻击者有机会通过获取用户的Session ID,伪装成合法用户,进行会话劫持,从而对用户的账号和数据造成威胁。本节我们将深入探讨...
web应用安全 1.1cookie的重要性
wwwoshishui的博客
03-22 298
HTTP是无状态的协议,正常状态下,是一锤子买卖,要哪个页面给哪个页面 –提高效率 cookie是一串乱码,一串数据。 服务器给cookie信息,在服务器端,服务器维护一个数据库,以cookie为索引,记录客户的会话信息 google插件:EditThisCookie –提取cookie cookie很重要,被窃取cookie攻击者就可以用cookie用户的身份做任何事 ...
Web中低危漏洞之加密会话(ssl)Cookie中缺少Secure属性的处理方法
weixin_42715225的博客
09-12 2061
前言 网址使用ssl后,如未对Cookie进行处理,会有中低危漏洞的产生 漏洞呈现 解决 在html静态页面的head部添加如下内容: <meta http-equiv="Expires" content="0"> <meta http-equiv="Pragma" content="no-cache"> <meta http-equiv="Cache-control" content="no-cache,must-revalidate"> <meta http-
会话管理
依然爱笑的薰衣草
08-18 257
会话管理 主要包含的状态保存技术有:URL重写、隐藏域、cookies和HttpSession对象。 一. URL重写 URL重写是一种会话跟踪技术,它将一个或多个token添加到URL的查询字符串中,每个token通常为key=value形式,如下: url?key1=value1&amp;key2=value2 URL重写适合于tokens无须在太多URL间传递的情况...
常见web安全漏洞及修复建议
qq_27990381的博客
07-08 6781
WEB漏洞 高危漏洞 SQL Injection(SQL注入攻击) 漏洞描述 通过把SQL命令插入到Web表单递交或输入域名、页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令。 示例: 以输入用户名、密码进行登录校验为例,当程序中存在SQL拼接时,可能发生的SQL注入攻击 代码中使用拼接SQL,验证用户是否存在 JdbcConnection conn = new JdbcConnection(); // 拼接SQL,引起 SQL 注入 String sql = "select * fr
Web应用安全Cookie参数越权.pptx
06-18
Web应用安全Cookie参数越权】 Web应用安全是一个至关重要的领域,因为它涉及到用户的隐私和数据保护。在本文中,我们将深入探讨一个特定的安全威胁——Cookie参数越权,这是一种允许攻击者非法访问与他们拥有...
Web应用安全HTTPCookie的缺点.pptx
06-17
Web应用程序中,HTTPCookie被广泛用于会话管理,但是不恰当的使用方式可能会引入严重的安全风险。本文将深入探讨Cookie的两大安全隐患类别:用途不当和输出方法不当,并提供相关的解决方案。 一、Cookie的用途...
Web应用安全HTTPCookie的作用.pptx
06-17
Cookie会话管理 由于 HTTP 协议的无状态性,服务器端不能保存客户端的状态。但是,在应用程序中,保持客户端的状态却是相当常见的需求。 比如,在线购物网站中的“购物车”就是一个典型的案例。购物车记住了用户在...
Web应用安全开发规范-V2.0.doc
08-03
Web应用安全开发规范-V2.0》是针对Web应用安全开发的重要指南,旨在提供一套系统性的安全开发标准,防止常见的网络安全威胁。本规范详细涵盖了背景介绍、技术框架、使用对象、适用范围以及用词约定等多个方面,并...
前端安全
weixin_44413053的博客
08-15 86
xss 反射型:构造出特殊的包含恶意代码的url cookie.HtppOnly DOM型:构造出特殊数据 前端转义 存储型 后端转义 相关处理 vue.v-html react.dangerouslySetInnerHTML={_html:xxx} csrf 过程 1、用户登录了网站A,并保留了登录凭证(cookie) 2、攻击者诱导用户访问了站点B 3、站点B向站点A发送恶意请求,浏览器会默认携带站点A的凭证,绕过了用户验证 防御 CSRF攻击之所以能成功,就是使用cookie,绕
安全问题】加密会话SSLCookie 中缺少 Secure 属性
热门推荐
huangliuyu00的博客
05-03 2万+
最近项目上线,开启https(ssl)后,Cookie出现缺少Secure 属性的情况。因为Cookie少了Secure属性,没有告知浏览器采用https方式来传输信息,所以在可以被外界获取到用户标识特征,如 JSESSIONID session会话ID 。 session cookie 用户首次访问Web站点时,Web服务器对用户一无所知,但希望用户再次访问的时候,能根据特征识...
Web应用Cookie相关安全问题研究_学习笔记
Au
12-02 556
cookie基础: 参考链接 https://blog.csdn.net/Auuuuuuuu/article/details/79977466 1.是用于保持HTTP会话状态/缓存信息    由服务器/脚本写入       Server:           Set-Cookie: user=bob; domain=.bank.com; path=/;       JS:       ...
安全漏洞: 不安全cookie传输
阿强的博客
04-26 2311
漏洞危害: 1、用户名和密码保存在cookie中,易被窃取,且密码可被还原成明文信息; 2、会话cookie不包含secure属性,因此注入站点的恶意脚本可能访问此cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在后续攻击中用于身份盗窃或用户伪装。 防护建议: 1、敏感数据如非必要,不要利用cookie传递交换。 2、密码等敏感数据传输时应加密处理。 3、设置cooki...
某些浏览器中因cookie设置HttpOnly标志引起的安全问题
bylfsj的博客
03-21 2082
1、简介 如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可做了,因为已证明有些浏览器的HttpOnly标记可以被...
Cookie应用完全解析(二):了解 SSL协议
邓福勇
05-19 1883
如  Cookie应用完全解析(一):asp.net中Cookie技术 提到的问题:SSL 是什么?怎么配置?怎么使用? 先解决 SSL 是什么。 摘自:http://wiki.mbalib.com/wiki/SSL%E5%8D%8F%E8%AE%AE           SSL协议(Secure Socket Layer,安全套接层)主要是使用公开密钥体制和X.50
web应用安全HTTP会话管理总结
windseraph2的博客
02-18 1719
HTTP   状态码    状态码:200(成功)301,301(重定向)404(找不到资源)500(服务器错误)   Referer   Referer头信息告诉我们请求是从那个页面链接过来的,是URL。但是Referer头信息可能成为问题之源。Referer头信息可以有访问者本人通过Fiddler之类的工具修改,所以未必会显示正确的连接。   比如URL中包含的会话ID通过R
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4468
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
Web应用安全漏洞:XSS、SQL注入与会话管理
"本文主要探讨了基于Web应用的网络安全漏洞,着重分析了跨站脚本(XSS)、SQL注入和会话认证管理漏洞这三种主要的威胁类型,并提出了相应的防范策略。作者张晓双、徐依凌和刘渊来自江南大学数字媒体学院,他们深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值