以前寫過一篇關於session、cookie的博文,都是簡單的介紹。不過session和cookie和網路安全可有著密切的關係。
今天主要從這幾個方面總結下最近學到的東西:
1. session 兩種型別
2. session 儲存方式;
session
和 cookie 的關係,禁用cookie;
session 共享
3. session 覆蓋
4. xss 和 crsf
一. session 和 flash session,直接上圖:
二. 這個請看 這裡就不再贅述;
三. 舉個例項:
第一步填寫賬號-用session或cookie記錄使用者賬號
第二步驗證身份-回答一些問題 儲存是否正確 正確跳第三部
第三步修改密碼-根據第一步的賬號和第二步的驗證結果進行密碼重置操作
這樣就存在乙個問題,我用自己的賬號aaaa完成前兩步(不再進行下去), 然後再用該**的其它使用者bbbb完成第一步,接下來我就可以修改bbbb的密碼了。
解決方案自己想哦。
四. xss 和 crsf 的介紹就不用說了,網上到處都是。
xss (cross site script) - 意思是這個指令碼不是該**的,但是可以執行。
csrf(cross-site request forgery) - 意思是偽造使用者的請求。
防範(主要講下個人方面):
xss (cookie) 不要讓你的請求可以隨便被獲取 -- 不要隨便連免費wifi
csrf 不要隨便點別人給你的鏈結
注:分析web問題的時候一般要從這三步分析:輸入 業務處理 輸出
web安全測試雜談
以下為彙總了中的帖子 三更的影子 rockyxie taker2001 在軟體安全開始越來越受人重視的今天,軟體的安全性測試是必不可少了。尤其是web軟體的安全性,關係到乙個企業的形象和能力。我把我對web軟體安全性測試的方法和經驗 見笑了只有半年,哈哈 給大家批評和討論。web軟體最常碰到的bug...
iOS APP安全雜談
高小廚 2015 06 30 10 16 以前總是在這裡看到各位大牛分享其安全滲透經驗,而今我也很榮幸的收到了烏雲的約稿,興奮之情難以言表。由於ios是一種閉源的作業系統,原始碼恐怕也只有幾個人見過,其安全性究竟如何我們不得而知,突然想起一段話 恐懼 於我們的無知。好在國內早有大牛團隊 盤古團隊總是...
iOS APP 逆向安全雜談
以前總是在這裡看到各位大牛分享其安全滲透經驗,而今我也很榮幸的收到了烏雲的約稿,興奮之情難以言表。由於ios是一種閉源的作業系統,原始碼恐怕也只有幾個人見過,其安全性究竟如何我們不得而知,突然想起一段話 恐懼 於我們的無知。好在國內早有大牛團隊 盤古團隊總是走在世界的前沿給我們帶來最新鮮的ios安全...