开发者社区> inzaghi1984> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

安全漏洞问题7:失效的身份认证和会话管理

简介: 应用程序的功能一般包含权限管理和会话管理,但是由于应用程序设计不当,让攻击者可以窃取到密码、密钥、session tokens等信息,进而冒充合法用户身份,获取敏感信息或者进行恶意操作。
+关注继续查看

安全漏洞问题7:失效的身份认证和会话管理
1.1. 漏洞描述
应用程序的功能一般包含权限管理和会话管理,但是由于应用程序设计不当,让攻击者可以窃取到密码、密钥、session tokens等信息,进而冒充合法用户身份,获取敏感信息或者进行恶意操作。
1.2. 漏洞危害
利用不安全的权限管理和会话管理设计,恶意用户可能会窃取或操纵用户会话和 cookie,进而模仿合法用户,一般来说,可能造成以下危害:
 窃取用户凭证和会话信息
 恶意用户冒充用户身份查看或者变更记录,甚至执行事务
 访问未授权的页面和资源
 执行超越权限操作
1.3. 解决方案
 始终生成新的会话,供用户成功认证时登录。
代码示例如下:
//Example 1:用户登陆成功生成新ID
request.getSession().invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
用户再输入信息登录时,就会产生一个新的session了。

 防止用户操纵会话标识。
具体措施如下:
 用户密码强度(普通-6位以上;重要-8位以上;极其重要:使用多种验证方式)
 不使用简单或可预期的密码恢复问题
 登录页面最好加密处理;登录出错时不给太多的提示,使用统一的出错提示;登录验证成功后更换Session ID
 第一次登录强制修改密码;对多次登录失败的帐号进行短时锁定;设置会话闲置超时。
 提供用户注销退出功能,用户关闭浏览器或者注销时,删除用户Session
 使用128位以上具备随机性的SessionID,不在URL中显示Session ID
 保护Cookie
在应用程序中为Cookie设置安全属性:Secure flag和HttpOnly flag。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
10 0
云原生系列一:Aeraki --- 管理 Istio 服务网格中任何 7 层协议
​ 今天由叶秋学长来介绍如何通过 Aeraki 来在服务网格中为 Dubbo、Thrift 等协议的服务提供七层流量路由、本地限流、全局限流,以及如何基于 Aeraki Protocol快速开发一个自定义协议,并在 Istio 服务网格中对采用自定义协议的服务进行管理。 本篇文章作为系列教程的先导篇,叶秋学长将从全局视角带您了解 Aeraki Mesh。 Aeraki [Air-rah-ki]是希腊语中“微风”的意思。虽然 Istio 在中连接微服务,但 Aeraki 提供了一个框架,允许 Istio 支持更多的第 7 层协议,而不仅仅是 HTTP 和 gRPC。我们希望这股"微风"
64 0
EMR集群安全认证和授权管理
介绍EMR高安全集群如何使用Kerberos和Apache Ranger进行鉴权和访问授权管理
546 0
9、web爬虫讲解2—urllib库爬虫—实战爬取搜狗微信公众号—抓包软件安装Fiddler4讲解
封装模块 #!/usr/bin/env python # -*- coding: utf-8 -*- import urllib from urllib import request import json import random import re import urllib.
2647 0
ssh密钥创建分发(端口号非22)&脚本实现自动创建分发密钥
1.1 服务端端口号变化了,如何基于秘钥连接 1.1.1 环境准备 实验环境: [root@test ~]# cat /etc/redhat-release CentOS release 6.
1113 0
公众平台调整SSL安全策略 不再支持SSLv2、SSLv3版本
  昨天夜间,微信团队发布重要安全策略调整,将关闭掉SSLv2、SSLv3版本支持,不再支持部分使用SSLv2、 SSLv3或更低版本的客户端调用。请仍在使用这些版本的开发者于11月30日前尽快修复升级。
1472 0
+关注
inzaghi1984
金融IT技术人员
223
文章
62
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载