web应用安全之HTTP与会话管理总结

最新推荐文章于 2025-05-01 15:33:23 发布
最新推荐文章于 2025-05-01 15:33:23 发布
阅读量1.7k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: WEB应用安全总结 文章标签: web安全 cookie HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/windseraph2/article/details/55667087

HTTP

  状态码 

  状态码:200(成功)301,301(重定向)404(找不到资源)500(服务器错误)

  Referer

  Referer头信息告诉我们请求是从那个页面链接过来的,是URL。但是Referer头信息可能成为问题之源。Referer头信息可以由访问者本人通过Fiddler之类的工具修改,所以未必会显示正确的连接。
  比如URL中包含的会话ID通过Referer泄露给外界,可能会使自己的身份被他人冒名顶替。
  URL中包含重要信息时,就有被Referer头信息泄密的风险。

  GET与POST

  GET仅用于查阅,没有副作用(指更新删除追加等操作)。发送敏感数据时用POST。

  hidden参数

  在fiddler的Rules下automatic breakpoints中before requests截取请求信息并修改。
  浏览器发送的值都能被修改。
  


COOKIE会话管理

  Cookie相当于服务器下达给浏览器的命令。记忆应用程序的状态的功能叫做“会话管理”。

  因为Cookie能保存的值的数量和字符串长度有限,并且Cookie的值被用户自己看到或更改,所以不适用于存储敏感信息。
  可以采用在Cookie中保存类似于“受理编号”的会话ID,实际的值保存在服务器端的方法。这就叫做“使用Cookie的会话管理”。

  会话ID应该满足如下要求
  1.不能被第三方推测
  2.不能被第三方劫持
  3.不能向第三方泄露
 使用开发工具提供的会话管理机制。
 认证之后改变会话ID,防止被劫持。

  会话ID泄露原因

  发行Cookie时的属性指定有问题
  会话ID在网络上被监听
  安全隐患如跨站脚本
  PHP或浏览器平台安全隐患
  会话ID保存在URL中,通过Referer头信息泄露
  

  Cookie属性设置

  Domian Cookie发送对象服务器的域名

  Path Cookie发送对象URL的路径

  Expires Cookie的有效期限。未指定则表示至浏览器关闭为止

  Secure 仅在SSL加密情况在发送Cookie

  HttpOnly 指定此属性的Cookie不能被Javascript访问

  Domian

  指定Domain=example.com则Cookie被发送到a.example.com和b.example.com,而不会被发送到c.example.org。
  未指定Domain时,Cookie只能发送到生成它的服务器,换言之,未指定时发送的范围就越小,越安全。
  举例:假设example.com是服务器租赁商,a.example.com和b.example.com都是架设在此服务器上的网站,如果a.example.com指定Cookie
中Domain=exmaple.com,此Cookie就会被泄漏至b.example.com。
  原则上不设置Domain属性。
  

  Cookie Monster Bug

  举例,网站域名为a.com.cn,则生成域名中最短为a.com.cn,但是一些就浏览器域名却指定为com.cn,就导致可能会泄露至任意域名为com.cn的网站中。
  使用地域性域名的网站,在加强会话固定攻击的同时,可以考虑迁移至其他形式的域名。
网络安全:(十六)Vue 应用中的会话管理:防劫持超时设置
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
11-16 1161
会话管理是现代 Web 应用的重要组成部分,尤其是对于需要用户登录的 Vue 应用来说,其安全性直接影响到用户的数据和隐私。在网络安全威胁日益增加的今天,防止会话劫持、管理会话超时等问题尤为关键。本文将结合 Vue 的特性,探讨如何在 Vue 应用中实现安全、可靠的会话管理策略,包括防止。通过以上策略,Vue 应用能够实现更安全会话管理,保护用户数据免受攻击。在用户的每次操作时记录时间戳,当超出预设时间时终止会话。攻击者伪造用户的请求,通过用户的身份执行恶意操作。,以及如何设置合理的。
正确理解http会话管理
05-07
正确理解http会话管理,session,HTTP协议状态保持,理解cookie机制,理解session机制...
Web应用程序的会话(Cookie)介绍
yaasshole
10-21 273
Web应用程序的会话(Cookie)介绍 一 会话会话状态: 1.Web应用的会话是指一个客户端浏览器和web服务器之间发生的连续的一系列请求和响应,知道窗口关闭 2.Web应用的会话状态时指web服务器浏览器在会话过程中产生的状态信息,借助会话状态信息(一问一答的结果),web服务器能够把属于同一个会话中的一系列的请求和响应过程关联起来。 举例:账号就是会话状态 购物车的商品也是...
Web应用会话管理安全攻防指南
最新发布
weixin_35903223的博客
05-01 276
本章节深入探讨了Web应用程序会话管理安全性问题,包括如何攻击和防御会话管理机制。首先分析了cookie路径限制可能被绕过的风险,随后介绍了黑客如何通过审查cookie的域或路径属性来扩大攻击范围。接着,强调了保护会话管理的重要性,并详细阐述了生成强令牌、保护令牌生命周期、使用每页令牌等防御措施。此外,还提到了日志、监控和警报的重要性以及如何应对暴力破解和异常请求。最后,本章节通过黑客步骤和实战案例,为读者提供了实际操作的视角。
结合Spring Security进行web应用会话安全管理
字母哥博客
11-22 1721
在本文中,将为大家说明如何结合Spring Security 和Spring Session管理web应用的会话。 一、Spring Security创建使用session的方法 Spring Security提供4种方式精确的控制会话的创建: always:如果当前请求没有session存在,Spring Security创建一个session。 ifRequired(默认): Spring...
Web会话管理安全问题
weixin_42081313的博客
06-11 1582
Web会话管理安全问题
HTTP会话管理
weixin_30518397的博客
06-06 176
1、Content-Type 发送值得MIME类型,可通过HTML的form元素设置。默认为application/x-www-form-urlencoded。格式为“名称=值”的组合通过&相连,名称和值都经过百分号编码。 2、百分号编码 中文和特殊符号等不能直接用于URL,需要经过百分号编码才能用于URL。 百分号编码将字符以字节为单位转换成%xx形式。中文“德”进行UTF-8编...
Web应用安全威胁防治+基于OWASP+Top+10ESAPI.pdf
09-14
其发布的OWASP Top 10是最具影响力的Web应用安全风险列表,总结了当前最常见且最具破坏性的安全问题。这十大威胁包括: 1. 注入攻击:如SQL注入、命令注入等,攻击者通过恶意输入执行未授权的数据库查询或操作系统...
Web应用程序安全设计指南
02-27
本页内容本模块内容目标适用范围如何使用本模块Web应用程序的体系结构和设计问题部署考虑输入验证身份验证授权配置管理敏感数据会话管理加密参数操作异常管理审核和记录设计指南小结总结其他资源本模块内容Web应用...
OWASP 10 项最严重的 Web 应用程序安全风险 (2017)
09-20
OWASP,即开放网络应用安全项目,是一个致力于改善软件安全的全球性非营利组织。自成立以来,OWASP定期发布了一系列关于Web应用程序安全风险的研究成果,其中最广为人知的是每年更新的OWASP Top 10。OWASP Top 10是...
tomcat共享多个web应用会话的实现方法
10-19
实现Tomcat环境下Web应用间会话共享,主要可以通过将Session管理逻辑抽取为独立服务或修改Tomcat内部的会话管理机制来实现。两者各有优势,具体采用哪种方案需要根据实际需求和应用场景来决定。在实施过程中,需要...
http协议,会话管理
weixin_45351103的博客
02-12 1020
http协议,会话管理http协议会话管理(Session)会话管理的实现例子cookie:浏览器HttpSession:服务器 http协议 http协议:超文本连接协议 http协议有两个特性: 请求----响应式(服务器被动请求)。服务器只有在客户端发起请求时才之建立链接 doGet(HttpServlertRequest, HttpServletResponse) 无记忆性----短链接。服务器无法记住客户端是谁。 会话管理(Session) 为了解决http协议存在的问题,引入了会话管理
会话管理HTTPCookie、Session)
m0_59860403的博客
01-19 253
HTTP的基本性质 HTTP是简单的 HTTP是可扩展的 HTTP是无状态的,有会话的 Cookie 是服务器发送到浏览器,并保存在浏览器端的一小块数据。 是浏览器下次访问该服务器时,会自动携带块该数据,将其发送给服务器 Session 是JavaEE的标准,用于在服务端记录客户端信息 数据存放在服务端更加安全,但是也会增加服务端的内存压力 ...
Web安全基础:HTTP会话管理
qq_43642093的博客
03-17 7534
前言 一、HTTP会话管理 1.HTTP消息 2.会话管理 2.1 POST方法 2.2 hidden参数 2.3 无状态的HTTP认证 2.4 Cookie会话管理 前言 首先介绍HTTP协议和会话管理,然后讲述浏览器的安全性功能之一,也是理解跨站脚本等主要安全隐患的原理的必备知识——同源策略。 一、HTTP会话管理 ...
HTTP 协议会话管理
Wang的专栏
03-27 743
在访问浏览器的时候,发生了什么? 输入网址 浏览器查找域名对应的ip地址 浏览器给Web服务器发送一个http请求 服务端处理请求 服务端发回一个http请求 浏览器收到响应信息 关于URL统一资源定位符 scheme://login:password@address:port/path/to/resource/?query_string#fragment scheme:...
OWASP发布构建安全Web应用的十大控制措施
王新友的博客
06-13 1528
Open Web Application Security Project(OWASP)是世界范围内的非盈利组织,关注于提高软件系统的安全性。它们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP发布的十大安全风险整理总结了Web应用开发中常见的漏洞,可以用来探查和分析应用安全问题。 不过,仅仅指出问题往往是不够的,开发人员是应用的基础,为了开发出安全
白帽子讲Web安全(六)认证会话管理
weixin_39157582的博客
09-14 368
认证会话管理1、我是谁2、密码的那些事3、多因素认证4、Session认证5、Session Fixation攻击6、Session保持攻击7、单点登录(SSO) 1、我是谁 认证是为了认出用户是谁,授权是为了决定用户能做什么。 如果只有一个凭证被用于认证,则称为 “ 单因素认证 ” ;如果有两个或多个凭证被用于认证,则称为 “ 双因素认证 ” 或 ” 多因素认证 “。 2、密码的那些事 (1)一般来说,密码必须以不可逆的加密算法,或者是单向散列函数算法,加密后存储在数据库中。 (2)目前业界比较普遍的
安全设计 -- 会话安全
qq_38303984的博客
03-26 3819
会话安全 同源策略跨域请求 概述 浏览器自带同源策略,不运行js发起跨域的post请求,get请求可以。 解决方法 1.jsonp 2.利用nginx或者java后端,返回允许跨域 3. 特定的标签gateway解决跨域 XSS重放攻击。跨站脚本攻击 概述 通过输入 解决方案 对特殊的字符进行转义,如<。 CSRF/XSRF 跨站请求伪造。 概述 由于浏览器的cookie是所有标签共享的,所以有可能导致cookie泄露。 解决方法 请求里携带随机token – get 所有
java web会话管理器_Java Web 应用程序中怎么样进行会话管理
weixin_34239718的博客
02-13 205
原标题:Java Web 应用程序中怎么样进行会话管理[ ]【IT168 资讯】Java Web应用程序的会话管理崩溃会涉及到以下几点:一般流程、Cookie使用情况、URL重写和会话销毁。本文将介绍在Java Web app中会话管理的工作原理。为了了解流程的工作原理,先从下面这个图开始: 1. 用户提交一个网页请求。2. 浏览器将请求发送到Web服务器。3. 服务器识别到请求中没有“会话相关信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值