• 什么是会话控制

    • SESSION

    • COOKIE

    • 服务器记录用户凭证的一个变量。是一个时域(从用户登录到注销的时间域)

    • 指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)

    • Web开发人员要在无状态的HTTP协议下进行状态维持和控制用户的一次会话需要引入其它的机制,这就是 会话管理

    • 在人机交互,会话管理是保持用户的整个会话活动的互动与计算机系统跟踪过程。会话管理分类:桌面会话管理、浏览器会话管理、Web服务器的会话管理(通常指的SESSION以及COOKIE)。

    • 会话控制包括什么

  • 会话控制存在的隐患

    • 中间人攻击

    • 注射式攻击

    • 获取用户登录凭证

    • 通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信双方缺毫不知情。(Eg:A和B通信,C通过ARP欺骗A和B,使A认为C是B,使B认为C是A,C通过转发A和B的通信数据,是A和B保持连接,这样C就可以监听A和B的通信内容,获取敏感信息。)

    • 不会改变会话双方的通讯流,而是在双方正常的通讯中插入恶意数据。(Eg:SQL注入)

    • 通过修改服务器发给自己的cookie是服务器误认为自己是另一外一个用户。(基本不可能。。。)

    • 通过XSS等手段获取对方的登录凭证并且通过修改自己的cookie,是自己可以登录对方的会话。

    • Cookie

    • Session

    • 会话劫持

  • 防御

    • 会话加密

    • 关闭浏览器的第三方cookie

    • 对用户可以接触并修改的数据进行过滤

本文转自 nw01f 51CTO博客,原文链接:http://blog.51cto.com/dearch/1791504,如需转载请自行联系原作者

会话管理隐患与防御 总结相关推荐

  1. 【网络安全】——服务端安全(注入攻击、认证与会话管理和访问控制、访问控制、加密算法与随机数、Web框架安全、应用层拒绝服务攻击DDOS)

    这一篇博客记录的是服务端安全应用安全的知识,学习内容来自<白帽子讲Web安全>. ​ 承接自上一篇客户端安全之后,包括注入攻击.认证与会话管理和访问控制.访问控制.加密算法与随机数.Web ...

  2. SpringSecurity系列——会话管理,CSRFday8-1(源于官网5.7.2版本)

    SpringSecurity系列--会话管理,CSRFday8-1(源于官网5.7.2版本)) 会话管理 会话并发管理 限制会话实例 关闭session会话管理 开启会话管理并设置最大会话数为1 前后 ...

  3. 渗透测试方法论5---测试会话管理机制

    文章目录 一.了解会话管理机制 二.令牌生成 (一).测试令牌的含义 (二).测试令牌的可预测性 三.令牌处理 (一).检查不安全的令牌传输 (二).检查在日志中泄露的令牌 (三).测试令牌-会话映射 ...

  4. SSH远程会话管理工具 - screen使用教程

    刚接触Linux时最怕的就是SSH远程登录Linux VPS编译安装程序时(比如安装lnmp)网络突然断开,或者其他情况导致不得不与远程SSH服务器链接断开,远程执行的命令也被迫停止,只能重新连接,重 ...

  5. linux会话管理,Linux 安装 screen 远程会话管理工具

    在使用景文互联的Linux 云服务器产品编译一些环境时,您可能需要花费不少的时间,如果编译时间过长,可能导致当前SSH会话超时,从而断开了SSH,也终止了环境编译的进程,这对用户使用体验非常不利,所以 ...

  6. 5G NGC — 会话管理模型 — PDU Session

    目录 文章目录 目录 5G 的会话管理模型 PDU Session PDU Session 的类型 Ethernet Type Unstructured Type DNN 的作用 UE IP 地址的分 ...

  7. 5G NGC — SMF 会话管理功能

    目录 文章目录 目录 SMF SMF 过载控制 NF Services Nsmf_PDUSession Service Create SM Context service operation Upda ...

  8. js如何获取jwt信息_学习后端鉴权系列: 基于JWT的会话管理

    内容回顾 上一节讲了基于Cookie+Session的认证方案. Even:学习后端鉴权系列: 基于Cookie, Session认证​zhuanlan.zhihu.com 由于基于Session方案 ...

  9. 使用Spring Session做分布式会话管理

    在Web项目开发中,会话管理是一个很重要的部分,用于存储与用户相关的数据.通常是由符合session规范的容器来负责存储管理,也就是一旦容器关闭,重启会导致会话失效.因此打造一个高可用性的系统,必须将 ...

最新文章

  1. linux服务器读写硬盘io,查看linux服务器硬盘IO读写负载
  2. 我的第一个网页制作:Hello World!
  3. Qt Creator自定义构建过程
  4. range函数python3_Python3如何使用range函数替代xrange函数
  5. ASP.NET Core on K8S学习初探(2)
  6. 简单的oracle备份恢复批处理文件 -- 转
  7. Go实现Raft第一篇:介绍
  8. 字符串算法 —— 两字符串相同的单词
  9. tinyhttpd源码分析
  10. c++按行读取txt文件中的内容,并按特定字符分割
  11. Pocket PC 基础知识
  12. const char *p与char * const p区别
  13. An工具介绍之宽度工具、变形工具与套索工具
  14. 盘点适合入门学习的C/C++开源项目
  15. 关于make提示must been abled with the -std=c++11 or -std=gnu++11 compiler options
  16. Windows10 如何设置自定义开机音乐
  17. PDF软件哪个好?一定要知道这几款
  18. 技术合集 | 【MySQL技术专题】「数据库锁技术」深入浅出透析MySQL数据库的锁基础概念和原理(上下全)
  19. mysql 苏勇_MySQL数据库基础学习笔记(整理自苏勇老师的MySQL基础课程视频)
  20. Day 63 django 中间件、cookie、session

热门文章

  1. 安装exchange server 2003服务器
  2. Spark源码阅读02-Spark核心原理之作业执行原理
  3. log4j超详细讲解
  4. 将Windows下的InfluxDB、Grafana做成Windows服务
  5. SQL Server 中 SELECT INTO 和 INSERT INTO SELECT语句的区别
  6. 关于Unity中如何判断一个动画播放结束
  7. 【bzoj2081】[Poi2010]Beads Hash
  8. int整数型转换char*字符串
  9. 点击按钮取GridView当前被操作行的数据
  10. 不好意思,食言而肥了