WEB安全实践 之 实现手法(一)设计上的安全 第二节:会话(SESSION)

2. 会话(SESSION)管理

2.1 生成SESSION的方法
无序不规则且足够长的数字、字母、符号[*1]组合成SESSION ID,既可以防止被人为猜出,也可以最大程度避免字典式攻击
*1 安全起见,推荐使用框架自动生成的SESSION ID

2.2 传输SESSION
(1)使用cookie传输是最常用的手段,但是需要防止XSS攻击,采取另外的措施(后续章节说明)
(2)把SESSION ID加入到URL上发送到后台
A. 不能直接处理此SESSION ID,因为URL是公开可见的,SESSION ID会暴露无遗,引起很多安全问题,不推荐这种方式[*1]
B. 加入cookie等元素,后台处理时根据cookie判断访问源头是否正常,比如从不同浏览器来的cookie不同,就算SESSION ID一样,也无效
C. 如果设计上允许不同浏览器访问,则可以使用类似上述手机号认证的方式,即事先生成临时密码,在不同浏览器中打开链接后提示输入临时密码
*1 手机应用开发等不会轻易暴露具体URL的情况下,可以适当使用

2.3 HTTPS保护
不管是SESSION ID还是其它敏感重要的信息,在引入HTTPS的机制[1]之上,如果需要通过cookie传输内容,那么需要使用到cookie的secure属性
A. cookie的secure=false,不管HTTPS有无,均传输内容,保护有缺陷[*2]
B. cookie的secure=true, 有HTTPS时才传输内容,无HTTPS时不传输内容,起到保护作用
*1 在认证机构注册 + 后台服务器设置(购买了)HTTPS + 设计上的URL均以https开头
*2只访问自身HTTPS的url群不会产生风险,但要访问未引入HTTPS的第三方url时,会暴露cookie内容

2.4 何时生成SESSION ID
2.4.1 恶用例:Session Fixation攻击
Session Fixation攻击,是指在要使用的Session中,加入了用户账号等相关机密信息,以此来设计开发程序时引起的问题,具体流程如下:
首先,用户通过某种途径访问登录页面,这时Session开始,Session ID随之返送给用户;
接着,输入用户名和密码等必要的登录信息,与刚才的Sesssion ID一起提交到服务器,认证成功后,即把该Session ID与用户信息关联起来。
这种情况下,攻击者通过各种手段让用户使用攻击者预先准备好的Session ID,一旦用户登录成功后,攻击者即得到同等授权,利用这个Session ID进行正常用户可以使用的任何操作。

2.4.2 对策
一句话概括,即在用户登录后,生成新的Session ID返送给用户,再进行后续操作。
就算用户使用攻击者预先准备的Session ID登录,但在服务器端认证通过后,服务器生成一个全新的Session ID返送给用户,从根本上杜绝攻击者。
不仅已有用户的登录,还是新用户的注册,都应该在设计和开发时加入该对策。
所以,在服务器端认证通过的时刻,必须要重新生成Session ID。

2.5 CSRF对策
2.5.1 根本性对策,是要让攻击者无法制造“陷阱”。
攻击者主要是通过推测页面表单里含有的各种参数信息来制造“陷阱”,所以如果表单里不含有能推测的信息,攻击者也就无从下手。
比如,通常的做法,在用户要结束某个操作之前(比如网购时点下“付款”按钮的时刻),安全起见,让用户重新输入密码,才能完成本次操作。
总之,密码也好,其它信息也好,在提交到服务器的信息中,只要有至少一个让攻击者无法预测、猜测的数据,就可根本上杜绝攻击。

2.5.2 另外一方面,面向大众开放的网站服务不能根本杜绝,但在企业等小众以及银行等有严格安全要求的网站服务上,有适用的解决方案。
(1)利用Refer的header属性。
header中保存了最近一次访问页面的URL,一般对这个URL时行判断,即可知道是否从“正规”渠道跳转过来的。
因为面向大众开放的网站服务具有多样性,无法保证该URL是否是预想的那样,所以适用性不强;
但小众的拥有特定用户的网站,并不会希望从各个渠道跳转过来,所以一开始设计时就要求URL的“正规性”,就能很好地适用。

(2)设计有步骤性的一连串多个页面。
攻击者的基本心理,是想尽快地让用户掉进“陷阱”,会设计出相对简单的页面和流程来诱导用户。
所以为了完成一个特定操作,可以设计多个步骤页面(当然不能无端随意让用户反感),“繁琐”的步骤让攻击者制造“陷阱”费时费力,较容易放弃。
每个页面都会从上个页面继承相关信息继而往下处理,这样到达服务端的数据才会完整,才能正常地被处理。

2.6 直接访问的防患与对策
网络上公开的信息很多,对非会员公开的页面(信息)也有,注册会员登录后才能访问的页面更是常见的形式。
但就算会员登录后,能访问的页面和操作的对象也只能是自己权限之内的,比如不能访问他人的购物记录、他人的非公开档案,甚至修改他人的个人信息。
这些“页面”,包括了静态的链接、文档(pdf、word等)、图像、影音流媒体、动态可执行的Javascript程序等,也在Session安全设计的对象之内。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,029评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,395评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,570评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,535评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,650评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,850评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,006评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,747评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,207评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,536评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,683评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,342评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,964评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,772评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,004评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,401评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,566评论 2 349

推荐阅读更多精彩内容