防止cookies欺骗--相关解决方案
来源:互联网 发布:抢红包避雷软件 编辑:程序博客网 时间:2024/05/14 06:21
一、网络上提供的解决方案
1、
最简单的是给Cookies加个加密算法。
保险点的是给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效。
2、
实际上是这样的,不管cookies里保存了多少个字段,最后,还要增加一个验证字段,或者称为MAC码。这个码是使用上面所有字段的内容合算出来的摘要再用一种加密算法,如3DES等使用服务器的主密钥进行加密。 这样,在从cookies得到数据后,再判断一下这个MAC码就可以知道整个cookies字段是否被篡改过。
3、
我的个人意见:(想过,正准备用上)
response.COOKIES("LOGIN")("MD5COOKIES")=MD5(服务器IP&客户IP&客户ID) ///等等,看着办吧。
然后 if MD5(服务器IP&客户IP&客户ID)<>request.COOKIES("LOGIN")("MD5COOKIES") then 立即清除全部COOKIES end if
补充:上面我写的那个,客户IP不能带上。我想可以改用网卡的MAC或硬盘的SN码。
4、
做项目的时候研究了一下,理论上应该是杜绝了cookies欺骗,我的做法如下:
自己做session,不用服务器的session功能,大网站都是这样做的,还可以做到session
跨站。
用户第一次访问站点的时候,程序产生一个随机sessionID,然后以cookies的方式发给客户端,
然后将该md5(sessionID+加上该客户断信息(如IP,端口等))和状态信息一起存入数据库,
这样就算cookies被盗,也有99%的把握不被欺骗。
5、
要防止这个,在写网页的时候就不要相信cookies,例如用户登陆时,记录用户的账号和密码到cookies里,其他叶面就不能直接使用这个cookies,特别是数据库操作,每个叶面都要把cookies与数据库中的用户名和账号对照,如果不吻合,就清空cookies,按非会员操作,即使吻合,进行数据库操作时也要检查字段,阻断注入。
6、
参考动网防Cookies欺骗,利用动态密码与Session+Cookies双重验证
二、自己最终解决方案
username ip rndcode,分别为用户名、ip、随机码,数据库中多添加两个字段,分别为当前登录ip、随机码
实现原理:
(1)、加密不可逆,cookies被获取后不起作用,其中ip在起着重大作用
1、
最简单的是给Cookies加个加密算法。
保险点的是给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效。
2、
实际上是这样的,不管cookies里保存了多少个字段,最后,还要增加一个验证字段,或者称为MAC码。这个码是使用上面所有字段的内容合算出来的摘要再用一种加密算法,如3DES等使用服务器的主密钥进行加密。 这样,在从cookies得到数据后,再判断一下这个MAC码就可以知道整个cookies字段是否被篡改过。
3、
我的个人意见:(想过,正准备用上)
response.COOKIES("LOGIN")("MD5COOKIES")=MD5(服务器IP&客户IP&客户ID) ///等等,看着办吧。
然后 if MD5(服务器IP&客户IP&客户ID)<>request.COOKIES("LOGIN")("MD5COOKIES") then 立即清除全部COOKIES end if
补充:上面我写的那个,客户IP不能带上。我想可以改用网卡的MAC或硬盘的SN码。
4、
做项目的时候研究了一下,理论上应该是杜绝了cookies欺骗,我的做法如下:
自己做session,不用服务器的session功能,大网站都是这样做的,还可以做到session
跨站。
用户第一次访问站点的时候,程序产生一个随机sessionID,然后以cookies的方式发给客户端,
然后将该md5(sessionID+加上该客户断信息(如IP,端口等))和状态信息一起存入数据库,
这样就算cookies被盗,也有99%的把握不被欺骗。
5、
要防止这个,在写网页的时候就不要相信cookies,例如用户登陆时,记录用户的账号和密码到cookies里,其他叶面就不能直接使用这个cookies,特别是数据库操作,每个叶面都要把cookies与数据库中的用户名和账号对照,如果不吻合,就清空cookies,按非会员操作,即使吻合,进行数据库操作时也要检查字段,阻断注入。
6、
参考动网防Cookies欺骗,利用动态密码与Session+Cookies双重验证
二、自己最终解决方案
username ip rndcode,分别为用户名、ip、随机码,数据库中多添加两个字段,分别为当前登录ip、随机码
实现原理:
(1)、加密不可逆,cookies被获取后不起作用,其中ip在起着重大作用
(2)、暴力破解成功,ip换成自己机器的,可正常访问,但前提是此用户一直未登录过,否则数据库中随机码大显身手
原文链接:http://blog.csdn.net/sollion/article/details/6769798
0 0
- 防止cookies欺骗--相关解决方案
- 防止cookies欺骗--相关解决方案
- 黑客cookies和session欺骗的工作原理和解决方案
- Cookies欺骗与防御
- Cookies 欺骗权限
- wget cookies 欺骗
- LR散乱的知识点之一-IP欺骗相关
- Cookies欺骗与session欺骗入侵
- Cookies欺骗分析与防护
- Cookies 相关
- 中文COOKIES防止乱码
- Cookies欺骗与session欺骗的实例入侵
- aspcms注入 cookies欺骗及修复
- ARP欺骗原理和ARP欺骗解决方案
- “cookies”相关知识
- 如何防止欺骗点击作弊的分析
- iptables技巧之防止欺骗攻击
- 防止arp欺骗攻击的方法
- 标准模板库(STL)使用入门(下)
- ipad和iphone横竖屏设置
- MongoDB基本命令用
- 深入理解javascript执行上下文
- Lua的多任务机制——协程(coroutine)
- 防止cookies欺骗--相关解决方案
- CCS3.3相关驱动插件安装
- windows下git bash中文乱码解决办法
- sublime text2之通过package control实现IDE管理
- poj 2507
- Linux文件系统基础之inode和dentry
- RecyclerView剖析学习
- C#基础 成员访问性,数据成员,函数成员简单总结
- 万事开头难