《Web应用安全威胁与防治》 这本书讲的是什么 , 书的名字已经阐述的很清楚, 我就不再赘述了
看了下ITeye提供的试读章节 , 的确有些干货 , 感觉囤一本还是有些必要的 , 也在此向ITeye的朋友们推荐下
试读章节包括了第六章 第十章和第十二章 其中第六章介绍了一些web安全方面的扫描工具 第十章介绍了身份认证和会话管理方面的安全问题 第十二章介绍了CSRF(跨站请求伪造)的相关知识
下面是我阅读第十章和第十二章后的读书笔记:
会话劫持:
截获sessionId 从而劫持该sessionId对应的会话
会话固定:
1 得到A网站的一个sessionID
2 诱导用户B发送含该sessionID的请求 , 用户B通过输入信息的方式登录了A网站
3 通过该sessionID , 可以得到B的权限
*url中写入sessionID 可能导致会话固定
非直接会话攻击 :
原因:
服务器端在用户还没有成功登录/注册/密码重置前 , 就将user信息存入session , 相应操作失败后 虽然提供了302重定向到失败页面 但客户端可以通过一些工具强制不执行302跳转 , 而此时server端session已经存在user信息 , 这样攻击者即使登录验证失败 , 却还能取得user的权限
解决办法 :
不要在 登录/注册/密码重置 前 就在session 中置入user信息 ;
防治会话固定的方法:
一旦用户登录成功,马上invalidate用户的会话
保护sessionID (会话令牌) 的方法 :
会话过期(软会话过期(xx时间没有操作) (硬会话过期(通过web filter 实现)))
保护cookie (设置 secure , HttpOnly) 防止中间人攻击 (Man in the Middle) *servlet 3.0 可以在web.xml 中设置 这两个属性
提供完整的 logout 功能
跨站请求伪造 CSRF ( Corss-site Request Forgery )
其特征为:
用户B登录A网站没有退出 打开的任何页面都可以向A网站发送B可以执行的请求 (如将可执行url 放入 img标签中 , 内嵌可提交表单的不可见iframe等)
主要的预防方法:
在重要操作前(转账/改密) 添加二次验证
添加token , 方法是:
1 在用户刚登录时 产生一个不可预知的Token ,
2 在任何需要保护的表单/URL 中 添加这个Token作为参数
3 提交相应请求时检查这个token
4 退出/session过期时 移除该token并销毁session
注意 , 添加Token并不能确保不会受到CSRF攻击 , 特别是在可能同时存在XSS漏洞的情况下
一个方便添加token的类库 : CSRF Guard
注:本文参加了ITeye1月技术图书有奖试读活动
