简单测试:
如何保护会话(可能还有CSRF令牌)免受盗窃?
通过执行上述操作,攻击者应该不可能截取会话ID。使用安全Cookies也是一个好主意。这将防止为非安全资源发送cookie(例如,通过http加载不需要身份验证的图像/ css)
您可以选择尝试将会话绑定到IP地址,但这不是一个完美的解决方案。它无法防御与用户位于同一NAT后的攻击者,并且可能无法验证具有到Internet的多个路由的有效用户。
需要说明的是:您将始终能够看到自己的会话ID。诀窍是确保其他人看不到它。它实际上是一个临时密码。大多数浏览器都会在磁盘上对安全cookie进行加密(可逆)。再次对其进行加密,以通过SSL传输到服务器。
假设您在与正确的服务器通信(另一个问题),攻击者获取会话ID的唯一方法是在计算机上安装恶意软件或破坏Ssl。
对ID的频繁更改意味着攻击者在必须重新开始之前只有很短的时间。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句