首頁猿問請問防止會話劫持的最佳方法是什么？

請問防止會話劫持的最佳方法是什么？

安全測試

慕的地6264312 2019-08-02 07:02:50

防止會話劫持的最佳方法是什么？具體而言，這是在使用客戶端會話cookie標識服務器上的會話時使用的。是否對整個網(wǎng)站使用SSL/HTTPS加密的最佳解決方案，并且您有最好的保證：在中間攻擊中的任何人都不能嗅到現(xiàn)有的客戶端會話cookie？也許第二個最好的方法是對存儲在會話cookie中的會話值本身使用某種加密？如果惡意用戶對機器具有物理訪問權限，他們?nèi)匀豢梢圆榭次募到y(tǒng)來檢索有效的會話cookie并使用它劫持會話？

查看完整描述

3 回答

德瑪西亞99

TA貢獻1770條經(jīng)驗獲得超3個贊

加密會話值將產(chǎn)生零效果。會話cookie已經(jīng)是一個任意值，加密它只會生成另一個可以嗅探的任意值。

唯一真正的解決辦法是HTTPS。如果您不想在您的整個站點上執(zhí)行SSL(可能您有性能問題)，您可能只需要使用SSL來保護敏感區(qū)域。要做到這一點，首先要確保您的登錄頁面是HTTPS。當用戶登錄時，除了常規(guī)會話cookie之外，還設置一個安全cookie(這意味著瀏覽器只能通過SSL鏈接傳輸它)。然后，當用戶訪問您的“敏感”區(qū)域之一時，將其重定向到HTTPS，并檢查是否存在該安全cookie。一個真正的用戶將擁有它，會話劫機者不會。

反對回復 2019-08-03