OWASP Top10 2010简介专辑-4 Top3-遭破坏的认证和会话管理
上一篇 /
下一篇 2009-12-22 09:35:38
/ 个人分类:OWASP
OWASP TOP10排名第3的威胁“遭破坏的认证和会话管理”,简而言之,就是攻击者窃听了我们访问HTTP时的用户名和密码,或者是我们的会话,从而得到sessionID,进而冒充用户进行Http访问的过程。
由于HTTP本身是无状态的,也就是说HTTP的每次访问请求都是带有个人凭证的,而SessionID就是为了跟踪状态的,而sessionID本身是很容易在网络上被监听的到,所以攻击者往往通过监听sessionID来达到进一步攻击的目的。
这些漏洞往往会存在于Web页面的“更改我的密码”、“记住我的密码”、“忘记密码”、“安全提问”、“注销登录”、“邮件地址”等环节上。
那么,一般来说,如何来防范这种漏洞呢?
第一, 我们要整体审视我们的架构
l 认证机制本身必须是简单、集中和标准化的;
l 使用容器提供给我们的标准session id;
l 确保在任何时候用SSL来保护我们的密码和session id
第二, 验证认证的实现机制
l 检查SSL的实现方法
l 验证所有与认证相关的函数
l 确保“注销登录”的动作能够关闭所有的会话
l 使用OWASP的WebScrab来测试你的应用
收藏
举报
TAG: