安全漏洞問題7:失效的身份認證和會話管理
1.1. 漏洞描述
應用程式的功能一般包含許可權管理和會話管理,但是由於應用程式設計不當,讓攻擊者可以竊取到密碼、金鑰、session tokens等資訊,進而冒充合法使用者身份,獲取敏感資訊或者進行惡意操作。
1.2. 漏洞危害
利用不安全的許可權管理和會話管理設計,惡意使用者可能會竊取或操縱使用者會話和 cookie,進而模仿合法使用者,一般來說,可能造成以下危害:
竊取使用者憑證和會話資訊
惡意使用者冒充使用者身份檢視或者變更記錄,甚至執行事務
訪問未授權的頁面和資源
執行超越許可權操作
1.3. 解決方案
始終生成新的會話,供使用者成功認證時登入。
**示例如下:
//example 1:使用者登陸成功生成新id
request.getsession().invalidate();//清空session
cookie cookie = request.getcookies()[0];//獲取cookie
cookie.setmaxage(0);//讓cookie過期
使用者再輸入資訊登入時,就會產生乙個新的session了。
防止使用者操縱會話標識。
具體措施如下:
使用者密碼強度(普通-6位以上;重要-8位以上;極其重要:使用多種驗證方式)
不使用簡單或可預期的密碼恢復問題
登入頁面最好加密處理;登入出錯時不給太多的提示,使用統一的出錯提示;登入驗證成功後更換session id
第一次登入強制修改密碼;對多次登入失敗的帳號進行短時鎖定;設定會話閒置超時。
提供使用者登出退出功能,使用者關閉瀏覽器或者登出時,刪除使用者session
使用128位以上具備隨機性的sessionid,不在url中顯示session id
保護cookie
在應用程式中為cookie設定安全屬性:secure flag和httponly flag。
關於rabbitmq安全漏洞的問題
在我們的很多個專案中都用到了訊息中介軟體,雖然現在有些已經改用了kafka,但是還有相當一部分依然用的是rabbitmq。而最近呢,我們收到了乙份關於安全漏洞掃瞄的文件,說我們的rabbitmq存在著一些安全漏洞問題,既然是有問題,自然是需要整改的,但是看完文件以後,發現這種安全漏洞問題似乎並不是很...
安全漏洞問題的解決 20161109
最近公司掃瞄負責的 出來一堆安全漏洞。嚇死寶寶了。貼出來剛剛改的幾個。1,使用了不安全的http請求。解決方案 禁止delete put options trace head等協議訪問應用程式應用程式。解決步驟 第一步 修改應用程式的web.xml檔案的協議 xmlns xsi version 2....
安全漏洞的一些總結和心得 1
安全漏洞與bug bug是程式在開發和設計上,考慮的不夠完善或實現存在錯誤,導致程式以設計和開發者未預期的方式或狀態來執行的行為,安全漏洞是bug的一種特殊形式。安全漏洞的定義應該是 能夠讓程式按非預期方式執行並且能使漏洞實施使用者獲得未被允許該使用者執行或處理能力的bug都是安全漏洞 安全漏洞是和...