網(wǎng)站安全防護中session會(huì )話(huà)安全是目前安全防護中,必須要進(jìn)行安全部署的,session關(guān)系著(zhù)整個(gè)用戶(hù)登錄網(wǎng)站與網(wǎng)站進(jìn)行交互,數據傳輸都要進(jìn)行的會(huì )話(huà)操作,如果session被劫持,那么網(wǎng)站里的用戶(hù)賬戶(hù)就會(huì )被惡意登錄,網(wǎng)站管理員的登錄也被劫持,造成網(wǎng)站被劫持,被篡改,被跳轉等情況的發(fā)生,根據我們SINE安全在對客戶(hù)網(wǎng)站進(jìn)行安全防護部署的時(shí)候,發(fā)現大部分的客戶(hù)網(wǎng)站都沒(méi)有對session會(huì )話(huà)狀態(tài)進(jìn)行安全加固,針對session安全方面,我們跟大家來(lái)分享講解一下,讓更多的人了解網(wǎng)站安全.
什么是session網(wǎng)站會(huì )話(huà)?
簡(jiǎn)單來(lái)將這個(gè)session就是用戶(hù)登錄網(wǎng)站的時(shí)候,會(huì )在后端服務(wù)器生成一個(gè)seeion值并記錄到服務(wù)器中,跟cookies的道理是差不多的,相當于每個(gè)用戶(hù)訪(fǎng)問(wèn)網(wǎng)站,都會(huì )單獨的分配一個(gè)session給用戶(hù),相當于標記用戶(hù),正常的會(huì )話(huà)流程是:用戶(hù)訪(fǎng)問(wèn)-建立session值-服務(wù)器數據傳輸給含有session的客戶(hù)IP,如果用戶(hù)沒(méi)有session值那么服務(wù)器不會(huì )與其進(jìn)行連接交互,不會(huì )返回任何數據給用戶(hù),session id是獨立的.
session會(huì )話(huà)在日常的網(wǎng)站當中經(jīng)常出現的安全問(wèn)題就是,session被劫持,攻擊者繞過(guò)session檢查,直接獲取用戶(hù)的信息,有些攻擊者甚至偽造session來(lái)登錄網(wǎng)站,登錄任意的會(huì )員賬號,有些高級的攻擊者會(huì )偽造session來(lái)登錄網(wǎng)站后臺,獲取管理員權限.
我們SINE安全經(jīng)常遇到客戶(hù)的session沒(méi)有釋放掉,導致session一直可用,攻擊者利用用戶(hù)的session對服務(wù)器進(jìn)行惡意代碼的發(fā)送,或者是請求一些用戶(hù)的操作,像修改用戶(hù)的密碼,提現,資料修改等等操作.這種屬于會(huì )話(huà)重放攻擊.還有一種是訪(fǎng)問(wèn)者打開(kāi)網(wǎng)站后,并未登錄賬戶(hù)密碼的時(shí)候就已經(jīng)創(chuàng )建了一個(gè)session值,這個(gè)值在賬戶(hù)登錄后也是與其session一致,也就是說(shuō)登錄跟未登錄的狀態(tài)都調用的一個(gè)session值,如果網(wǎng)站程序在設計過(guò)程中沒(méi)有對其做安全效驗與過(guò)濾,那么就很容出問(wèn)題,攻擊者利用一個(gè)session值來(lái)登錄用戶(hù)賬戶(hù),獲取信息,甚至可能導致用戶(hù)的信息泄露.
那么如何對網(wǎng)站session會(huì )話(huà)安全做防護呢?
1,賬戶(hù)登錄后的session值為唯一性,當賬戶(hù)退出后將之前寫(xiě)進(jìn)服務(wù)器端的session值進(jìn)行刪除,防止session一直可用.
2.對用戶(hù)的權限做安全過(guò)濾,相當于邏輯漏洞范疇里的,當session訪(fǎng)問(wèn)一些有管理權限的頁(yè)面時(shí),對其當前管理員賬戶(hù)的session進(jìn)行比對,如果session值不是管理員的,那么就直接退出頁(yè)面并返回錯誤.如果您對網(wǎng)站安全不是太懂的話(huà),建議找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理,國內SINESAFE,啟明星辰,深信服,綠盟都是比較不錯的.
3.在服務(wù)器端做session的有效時(shí)間設置,比如設置12小時(shí)使用時(shí)間,如果session超過(guò)12小時(shí)就刪除掉,防止攻擊者惡意利用session會(huì )話(huà)來(lái)劫持攻擊網(wǎng)站.
4.對session做雙向加密驗證,配合cookies進(jìn)行加密,加密出來(lái)的值到服務(wù)器端去解密,才能進(jìn)行正常的數據通信.以上就是網(wǎng)站安全防護中對session會(huì )話(huà)的安全講解分享,也希望我們SINE安全的這次分享,讓越來(lái)越多的人深入的了解網(wǎng)站安全,只有網(wǎng)站安全了才能保障我們的信息安全,防止用戶(hù)信息泄露的發(fā)生.
皖公網(wǎng)安備 34010202600669
