第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

研究了幾天session安全,得出幾個觀點,請指正:

研究了幾天session安全,得出幾個觀點,請指正:

PHP
烙印99 2023-05-03 13:09:52
可以xss通過獲得cookie信息,包含sessionid可以通過截取http,獲得header信息,包含sessionid以上兩種法都有一定條件和難度如果服務端單靠sessionid識別會話信息,那么通過xss獲取了sessionid后,會泄露用戶信息,如果再通過ip,useragent信息加以校驗,可以減少風險如果截取了http,換用https方式可以減少風險即便是使用https,ssl證書也是可以偽造結論:xss漏洞更低級一些,但是造成的風險很大。http截取,截取范圍很小,風險小。當然,截取到admin的信息,那就不一樣了。http截取/ssl證書偽造的技術要求、環(huán)境要求較高,防治的成本也大。
查看完整描述

2 回答

?
慕沐林林

TA貢獻2016條經驗 獲得超9個贊

  1. XSS可以通過給sessionid cookie設置 httponly 來防止。

  2. 監(jiān)聽http包的,校驗IP是一種還不錯的辦法。因為通常用session做登錄都不會持續(xù)很長時間,IP通常不會發(fā)生變化。admin登錄的話,最好不要與前臺系統做在一起,獨立域名、特殊端口、限制IP/VPN內網、手機短信隨機驗證碼等等方法都可以增強安全性。

  3. https的偽造證書監(jiān)聽,這個貌似只能獲取到被欺騙用戶提交的數據,因為證書本身驗證的是服務器端的可信度。當然如果已經把客戶端與服務端網絡完全切斷,加入了中間代理并偽造了服務器證書,這個應該仍然可以通過認證IP、SSL客戶端證書來解決……這個不是很明白,懇請大神講解。

另外,sessionid的隨機性不夠被猜到也是session的潛在安全問題之一。

查看完整回答
反對 回復 2023-05-06
?
一只萌萌小番薯

TA貢獻1795條經驗 獲得超7個贊

好吧,從來就沒有絕對安全的事兒.

  1. 可以xss通過獲得cookie信息,包含sessionid key:cookie有自己的httpOnly.(之前apache也曝過一個漏洞:發(fā)送的cookie過長會把cookie給返回,即使httpOnly,現在已經修復)退一步講,你應該首先避免xss漏洞.

  2. 可以通過截取http,獲得header信息,包含sessionid key:改用https,防止中間人(這個也沒有絕對的安全,SSL證書也曾被黑客偽造,不過一般人可干不了這個事兒)

  3. 如果服務端單靠sessionid識別會話信息,那么通過xss獲取了sessionid后,會泄露用戶信息,如果再通過ip,useragent信息加以校驗,可以減少風險

key:可以避免他拿到了session后在自己的ip上實現.不過,既然他都拿到xss了,對于跨站師來說,拿用戶信息幾乎不費吹灰之力,關鍵是如何避免XSS,大門都給小偷打開了,你還想著要給保險箱上一把鎖,現在的小偷可是拿的是大鐵鍾!

  1. 如果截取了http,換用https方式可以減少風險

    嗯,我同意

  2. 即便是使用https,ssl證書也是可以偽造 Key: 成功偽造證書的人少之又少.SSL相對絕大部分應用來說,其安全性已經足夠了.

綜上,session的本身的安全在于外圍的安全性.其本身是安全的.安全的會話機制最關鍵的還是要避免一些常見的漏洞:XSS,CSRF(這只是我經常遇到的,無論大站還是小站,這方面問題最多)

查看完整回答
反對 回復 2023-05-06
  • 2 回答
  • 0 關注
  • 155 瀏覽

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號