Session Management and User Authentication

参考链接
https://crypto.stanford.edu/cs155old/cs155-spring11/lectures/15-auth-session-mgmt.pdf

服务器更改browser cookie
WechatIMG1.jpeg
客户端更改cookie

读取-javascript: document.cookie
设置-document.cookie="name=value;expires=...;"
删除-document.cookie = “name=; expires= Thu, 01-Jan-70”

cookies are identified by (name domain path)
browser发送当前url范围下的cookie到server

即使是https ,网络攻击可以劫持响应,重写set-Cookie

cookie本地保存信息方案
WechatIMG2.jpeg
WechatIMG3.jpeg

session management

好处:
1.一次性验证用户
2.所有的随后的请求都会和用户绑定

流程图:

WechatIMG4.jpeg

储存session token的方式:
1.browser cookie: Set-Cookie : SessionToken=fduhye63sfdb
2.嵌入在URL链接上:https://site.com/checkout ? SessionToken=kh7y3b
3.在一个隐藏的html标签中:<input type=“hidden” name=“sessionid”
value=“kh7y3b”>
问题:
1.browser cookie:每次请求都会发送cookie,甚至不需要的时候
2.嵌入在URL链接上 :token泄漏
3.在一个隐藏的html标签中 :只能储存短session
解决方案:以上方案结合使用


SESSION HIJACKING劫持

攻击者等待用户登录,获取用户的session token 然后劫持 session

劫持方式:
1.可预测的session token
例如用计数当作 session token,解决方案:token = MD5( current time, random nonce )

2.cookie theft (cookie 窃取)
(1). http和https混用
(2).xxs攻击
(3).注销的时候没有把token 失效

3.Session fixation attacks (固定session攻击)
(1). Attacker gets anonymous session token for site.com
(2). Sends URL to user with attacker’s session token
(3). User clicks on URL and logs into site.com this elevates attacker’s token to logged-in token
(4). Attacker uses elevated token to hijack user’s session.
----解决方案
When elevating user from anonymous to logged-in,always issue a new session token

解决方案:
1.最小化客户端的状态
(1)SessionToken = [random unpredictable string] (没有数据嵌入在token中)
(2) ServerstoresalldataassociatedtoSessionToken:userid, login-status, login-time
---很多的数据库查询会给服务端压力

2.大量的客户端的状态
SessionToken:
SID = [ userID, exp. time, data] where data = (capabilities, user data, ...)
SessionToken = Enc-then-MAC (k, SID)
k: key known to all web servers in site.

Server必须一直保持一些用户的状态 例如注销状态。
注意此种方式没有绑定SID到用户的机器

3.绑定sesstionToken到用户的机器
嵌入用户的特定的数据在SID
例如
    (1)用户IP 但是用户换台机器 或者更改IP就会登出
    (2)Client user agent :Aweakdefenseagainsttheft,butdoesn’thurt.(不太懂怎么理解)
    (3)SSL session key:Same problem as IP address (and even worse)

4.注销流程
网站提供一个注销的方法的作用:
i.功能上让用户登录的时候就像不同的用户
ii.安全性上可以防止别人滥用账户

注销要做的事情:
i.客户端删除sessionToken
ii.服务器上记录session token 已过期
---很多网站只进行i中的操作

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • 背景在HTTP协议的定义中,采用了一种机制来记录客户端和服务器端交互的信息,这种机制被称为cookie,cooki...
    时芥蓝阅读 2,484评论 1 17
  • http://www.91ri.org/tag/fuzz-bug 通常情况下,有三种方法被广泛用来防御CSRF攻击...
    jdyzm阅读 4,407评论 0 5
  • cookie cookie的起源 早期web刚开始出现复杂的应用程序时,产生了对于能够直接在客户端上存储用户信息能...
    zenggo阅读 4,027评论 1 52
  • Session的声明与使用 Session的设置不同于Cookie,必须先启动,在PHP中必须调用session_...
    寻回骄傲阅读 3,017评论 0 18
  • 阳春三月,纸鸢纷飞。“阿祁,把纸鸢扬起来啊。”梨子见别人的纸鸢都飞的很高,自己的还在阿祁手里,不免有些急躁。“好好...
    顾顾如故阅读 385评论 0 0

友情链接更多精彩内容