OWASP Top10 2010简介专辑-4 Top3-遭破坏的认证和会话管理

OWASP TOP10排名第3的威胁“遭破坏的认证和会话管理”，简而言之，就是攻击者窃听了我们访问HTTP时的用户名和密码，或者是我们的会话，从而得到sessionID，进而冒充用户进行Http访问的过程。

由于HTTP本身是无状态的，也就是说HTTP的每次访问请求都是带有个人凭证的，而SessionID就是为了跟踪状态的，而sessionID本身是很容易在网络上被监听的到，所以攻击者往往通过监听sessionID来达到进一步攻击的目的。

这些漏洞往往会存在于Web页面的“更改我的密码”、“记住我的密码”、“忘记密码”、“安全提问”、“注销登录”、“邮件地址”等环节上。

那么，一般来说，如何来防范这种漏洞呢？

第一，  我们要整体审视我们的架构

l        认证机制本身必须是简单、集中和标准化的；

l        使用容器提供给我们的标准session id；

l        确保在任何时候用SSL来保护我们的密码和session id

第二，  验证认证的实现机制

l        检查SSL的实现方法

l        验证所有与认证相关的函数

l        确保“注销登录”的动作能够关闭所有的会话

l        使用OWASP的WebScrab来测试你的应用