當(dāng)前位置:首頁 >  站長 >  網(wǎng)站運營 >  正文

網(wǎng)站漏洞防護之SESSION跨站攻擊獲取

 2020-12-29 10:30  來源: A5用戶投稿   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

這一部分內(nèi)容的重中之重是session和cookie,客戶在安全使用app系統(tǒng)時,如何根據(jù)客戶的身份提供不同的功能和相關(guān)數(shù)據(jù),每個人都有這樣的體驗。例如,訪問淘寶,不會把自己喜歡的商品加入別人的購物車,如何區(qū)分不同的客戶?打開任何網(wǎng)站,抓住包看,cookie的字段都存在。cookie伴隨著客戶的操作自動提交給服務(wù)器方面,想?yún)^(qū)分認(rèn)證前和認(rèn)證后來到客戶方面,用戶認(rèn)證成功后可以在cookie上寫上標(biāo)志,服務(wù)器在處理請求時判斷該標(biāo)志即可。

對于標(biāo)志的設(shè)置,如果直接將客戶稱直接以明確或加密的方式放置在cookie中,如果加密方式被破解,則可能偽造客戶的身份,因此在cookie中直接插入客戶的身份信息是不可取的。對于客戶身份的設(shè)置,還有session機制,在用戶認(rèn)證成功后,將客戶的個人信息和身份信息寫入session,在cookie中的表現(xiàn)只出現(xiàn)sessionID,服務(wù)器方面通過該sessionID在服務(wù)器上找到指定的數(shù)據(jù),敏感的數(shù)據(jù)存在于服務(wù)器方面,sessionID的值是隨機字符串,攻擊者很難推測其他用戶的sessionID,從而偽造客戶的身份。當(dāng)我們安全使用xss漏洞時,我們都喜歡獲得客戶的cookie。獲得cookie后,最重要的字段是sessionID。有了他,我們可以偽造他人的身份并獲得他人的數(shù)據(jù)。

根據(jù)會話內(nèi)容,可以完成以下操作:

作業(yè)1:通過搜索引擎,尋找可以注冊的幾個網(wǎng)站,burp抓住包分析注冊后的對話是如何實現(xiàn)的,是否用session保存用戶信息,token是否可以偽造,是否在cookie保留用戶信息等。作業(yè)2:基于以前的作業(yè),開發(fā)的登錄認(rèn)證頁面,認(rèn)證成功后,對不同的賬戶設(shè)定不同的權(quán)限,分別用cookie和session來顯示客戶的身份,測試不同的顯示方式可能存在的安全風(fēng)險。記錄測試過程和結(jié)果、相關(guān)代碼和設(shè)計構(gòu)想形成報告,共享,共同探討。

目前對于網(wǎng)站和APP安全漏洞上對于獲取SESSION和COOKIES的問題比較多,很多程序員對一些提交功能沒有做更多的過濾,導(dǎo)致被插入了惡意XSS代碼從而獲取到了后臺權(quán)限,如果大家想要更全面的檢測安全漏洞問題的話可以像國內(nèi)的網(wǎng)站安全公司尋求人工滲透測試服務(wù)的幫助。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

熱門排行

信息推薦