web安全学习笔记之-认证和会话管理-访问控制
来源:互联网 发布:杨幂视频是真的吗 知乎 编辑:程序博客网 时间:2024/06/02 06:54
密码是验证主人最简单常用的手段
网站要避免存密码的明文,CSDN被拖裤后,密码是明文的 非常悲剧。
密码必须用md5或者sha哈希后存起来,验证密码也是比较哈希值就可以了。
md5是不可逆的。但是彩虹表这种穷举法已经用于MD5的破解,但是只要网站在计算哈希的时候简单加一个私密字符串就可以对彩虹表取明文带来难度
支付网站除了密码,还用了多中手段去认证:动态口令、数字证书、第三方等。
黑客很难取得所有渠道的认证方式
用户登录完成后要和服务器建立一个session,服务器给用户分配一个session id
浏览器访问服务器要随时带上这个id,所以一般设置到cookie,受到同源策略保护
此时sessionid代表了用户,所以cookie劫持就能泄漏用户登录态。一般有xss,网络sniff(同一个链路层上监听数据),本地木马的方式
wap时代很多手机浏览器不支持cookie,于session id明文放到url中。更容易泄漏
session fixation攻击 只能说网站真的要够蠢到 接受用户的sid 且认证还不更换才能做到 让一个用户给另外一个用户分配sid的情况发生
session都有生命周期,但是有人会采取不停构造页面刷新请求或者设置cookie的expire时间来达到延长周期或者变成本地cookie 这样用户浏览器关闭后依然能用。在网吧的同学就悲剧了。防御办法就是后台要强制session 过期
访问控制
在一个大的系统里,肯定存在多用户 多角色 。每个人拥有什么样的权限是需要访问控制的
权限管理分水平和垂直两个方向 。
水平管理就是 用户a是否有权限访问用户B的数据呢?
垂直管理就是 低权限的用户 可以做高权限的敏感操作吗?
- web安全学习笔记之-认证和会话管理-访问控制
- Java web基础学习笔记之会话管理
- sun认证备考学习笔记系列--声明和访问控制
- web应用安全之HTTP与会话管理总结
- sun认证备考学习笔记系列--声明和访问控制(2)
- web安全学习笔记之-脚本安全
- web安全学习笔记之-html5安全
- java web Servlet 学习笔记 -3 会话管理技术
- solr入门之安全认证和权限控制实践
- A2-不当的认证和会话管理
- Web Service安全控制之——访问IP限制
- Java开发学习笔记之七:servlet-控制会话
- PHP学习笔记十之会话控制(进阶篇)
- 网络安全之身份认证和访问控制实现原理(ZZ)
- CCNA学习笔记(五) 安全(访问控制列表)
- 管理Web和FTP服务器 实现安全有效访问
- web安全学习笔记之-点击劫持
- web安全学习笔记之-注入攻击
- opencv249 -- vs 2013配置
- UVA 11817 - Tunnelling the Earth
- php-fpm 启动参数及重要配置详解
- 添加分销商
- mysql存储过程语法及实例
- web安全学习笔记之-认证和会话管理-访问控制
- IDA破解Android程序的基本步骤
- C语言读取文件目录树
- Spring属性注入方式
- Dom4j解析XML
- 《老罗Android》学习之HTTP (三) POST提交数据
- 行为型模式2:备忘录模式
- window的客户端连接linux中的cvs服务器出现问题
- SAS宏的特殊字符引用