您好,欢迎来到聚站网!
当前位置:聚站网 » 站长资讯 » 互联网资讯 » 优化推广 » 文章详细

网站漏洞防护之SESSION跨站攻击获取

来源:网络 浏览:311次 时间:2021-11-22

这一部分内容的重中之重是session和cookie,客户在安全使用app系统时,如何根据客户的身份提供不同的功能和相关数据,每个人都有这样的体验。例如,访问淘宝,不会把自己喜欢的商品加入别人的购物车,如何区分不同的客户?打开任何网站,抓住包看,cookie的字段都存在。cookie伴随着客户的操作自动提交给服务器方面,想区分认证前和认证后来到客户方面,用户认证成功后可以在cookie上写上标志,服务器在处理请求时判断该标志即可。

对于标志的设置,如果直接将客户称直接以明确或加密的方式放置在cookie中,如果加密方式被破解,则可能伪造客户的身份,因此在cookie中直接插入客户的身份信息是不可取的。对于客户身份的设置,还有session机制,在用户认证成功后,将客户的个人信息和身份信息写入session,在cookie中的表现只出现sessionID,服务器方面通过该sessionID在服务器上找到指定的数据,敏感的数据存在于服务器方面,sessionID的值是随机字符串,攻击者很难推测其他用户的sessionID,从而伪造客户的身份。当我们安全使用xss漏洞时,我们都喜欢获得客户的cookie。获得cookie后,最重要的字段是sessionID。有了他,我们可以伪造他人的身份并获得他人的数据。

根据会话内容,可以完成以下操作:

作业1:通过搜索引擎,寻找可以注册的几个网站,burp抓住包分析注册后的对话是如何实现的,是否用session保存用户信息,token是否可以伪造,是否在cookie保留用户信息等。作业2:基于以前的作业,开发的登录认证页面,认证成功后,对不同的账户设定不同的权限,分别用cookie和session来显示客户的身份,测试不同的显示方式可能存在的安全风险。记录测试过程和结果、相关代码和设计构想形成报告,共享,共同探讨。

目前对于网站和APP安全漏洞上对于获取SESSION和COOKIES的问题比较多,很多程序员对一些提交功能没有做更多的过滤,导致被插入了恶意XSS代码从而获取到了后台权限,如果大家想要更全面的检测安全漏洞问题的话可以像国内的网站安全公司寻求人工渗透测试服务的帮助。

推荐站点

  • 高仿包高仿包

    竭誠精品-高仿世界名牌包包專賣網主營高仿LV包,高仿GUCCI古奇包,高仿HERMES愛馬仕,高仿CHANEL香奈兒,高仿PRADA,高仿巴黎世家等國際高仿包包、1比1高仿女包、高仿包、精仿奢侈品、世界名包、皮帶、皮具、手表、飾品等。LV新款包包同步香港LV專櫃及LV官方網站,LV行業最好品質!

    awhso.net
  • YY分类目录YY分类目录

    YY分类目录全人工编辑的开放式网站分类目录,收录国内外、各行业优秀网站,旨在为用户提供网站分类目录检索、优秀网站参考、网站推广服务。

    www.yydir.com
  • 70网站目录70网站目录

    全人工编辑的开放式网站分类目录,免费收录国内外、各行业优秀网站,旨在为用户提供网站分类目录检索、优秀网站参考、网站推广服务。

    www.70dir.com
  • 25分类目录25分类目录

    25分类目录专业提供网站网址免费提交收录,25分类目录是采用开放导航式的网站大全,收录国内外各行业优秀的网站网址,让网站在各大搜索引擎收录快排名靠前。

    www.25dir.com
  • 99网站目录99网站目录

    久久网站目录采用全人工编辑的开放式网站分类目录,久久网站大全免费收录国内外、各行业优秀网站网址,旨在为用户提供网站分类目录检索、优秀网站参考、网站推广服务。

    https://www.99dir.com