网络攻防-Web应用安全3-HTTP会话攻击,不涉及实验
HTTP会话变量存储在Web服务器
HTTP会话攻击及防范:
- 预测会话ID:采用编程语言内置的会话管理机制
- 窃取会话ID:需要根据不同的窃取会话ID号方法,采取不同的防范措施,如基于XSS攻击 实施的会话ID号窃取攻击,可以采用HttpOnly属性的方法来防范
- 会话ID固定:支持会话采纳(Session Adoption)的Web环境,存在会话ID号固定的 风险比较高。因此,尽可能的采用非会话采纳的Web环境或对会话采纳方 式进行防范
- 控制会话ID :不能让会话ID号长期有效,如采用强制销毁措 施或用户登录后更改会话ID号
跨站请求伪造攻击
(Cross-Site Request Forgery,CSRF)
- victim正常访问网站www,获取该网站下的会话ID=xxx
- victim点击attacker构造好的链接,该链接包含了对www的请求,也就是victim用他的会话ID在www执行了attacker指定的任务
防范措施
- 使用POST替代GET
- 检验HTTP refer
- 验证码
- 使用Token