压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

關于Session 生命周期的安全分析

責編:admin |2015-02-11 11:13:36

  Session 生命周期(從創(chuàng)建到銷毀)

  1、session的默認過期時間是30分鐘,可修改的最大時間是1440分鐘(1440除以60=24小時=1天)。

  2、服務器重啟或關閉Session失效。

  分析:

  session 用于跟蹤瀏覽器 與 服務器交互的,HTTP協(xié)議是種無狀態(tài)的請求響應協(xié)議,每一次請求響應結束后都會斷開,這使得服務器沒法知道這時的用戶是曾經的哪一個。引用了session彌補了這一缺陷,客戶端和服務器在第一次認證后服務器和客戶端都會存下服務器給客戶端產生的唯一的一個sessionID 用于標識和某一個用戶的交互會話。此后的交互中,只要服務器端的session還在,客戶端只需提供這個同樣的session ID 服務器就知道它正在和誰交互了! cookie 的存在也是為了解決如此的問題,二者各有差異,各有優(yōu)劣之處。cookie存在于客戶端本地文件里,每一次用戶打開瀏覽器請求服務器時,瀏覽器就會把屬于這個服務器的cookie信息帶上,一同請求服務器,服務器從cookie信息中分析確認來者何人,然后做出該有的響應。cookie存在客戶端一方,sessionID存在于服務器和客戶端兩方。客戶端的cookie一旦被別人盜用,服務器完全不知道,沒法保障用戶的信息安全。sessionId生命周期過長,一旦客戶端sessionId被盜用也會出現(xiàn)cookie被盜一樣的給用戶帶來的危害;當用戶量很大的時候,session會占服務器內存很大資源,使得服務器性能降低,cookie只會占用用戶本地磁盤資源;

  session在服務器手動銷毀以及服務器重啟或關閉時失效,關閉瀏覽器,只是客戶端的session不在了,服務器端還依然保留著和用戶的會話憑證的;

  Xss盜取的也許是(sessionId(Java里面叫(sessionId),而不只是cookie。那么假設我們的Session被設置得特別長那么這個SessionId就會長時間的保留,而為Xss攻擊提供了得天獨厚的條件。而這種Session長期存在會浪費服務器的內存也會導致:SessionFixation攻擊!

  分析:

  (盜取sessionid,利用這個服務器認證成功的sessionId欺騙服務器進行操作。)我以為這是攻擊目標服務器,使得目標服務器內存溢出,以至崩潰喲!!因為,服務器會把用戶的sessioID存放在內存,當用戶會話很多時,可能會把內存耗盡!!

  百度后知道:

  Session fixation attack(會話固定攻擊)是利用服務器的session不變機制,借他人之手獲得認證和授權,然后冒充他人。如果應用程序在用戶首次訪問它時為每一名用戶建立一個匿名會話,這時往往就會出現(xiàn)會話固定漏洞。然后,一旦用戶登錄,該會話即升級為通過驗證的會話。最初,會話令牌并未被賦予任何訪問權限,但在用戶通過驗證后,這個令牌也具有了該用戶的訪問權限。

  SessionFixation攻擊的防范:

  1、用戶輸入正確的憑據(jù),系統(tǒng)驗證用戶并完成登錄,并建立新的會話ID。-(銷毀之前的SessionID)

  2、Session會話加Ip控制,防止別人盜取session后,異地登陸。就像QQ發(fā)生異地登陸時,就需要再次驗證身份處理一樣;

  3、加強程序員的防范意識!書寫代碼中要有防范xxs攻擊意識;

  注意:

  當我們關閉服務器時Tomcat會在安裝目錄workCatalinalocalhost項目名目錄下建立SESSIONS.ser文件。此文件就是Session在Tomcat停止的時候 持久化到硬盤中的文件. 所有當前訪問的用戶Session都存儲到此文件中. Tomcat啟動成功后.SESSIONS.ser  又會反序列化到內存中,所以啟動成功后此文件就消失了. 所以正常情況下 從啟Tomcat用戶是不需要登錄的. 注意有個前提,就是存儲到Session里面的user對象所對應的User類必須要序列化才可以。來自于: http://alone-knight.iteye.com/blog/1611112

  分析: 關閉服務器時,Tomcat服務器還這么人性化啊???

  我還沒有測試出來,沒看到這個效果!不過這么做確實很人性化,很可取的!!用戶體驗比較好,想起了今天看到的微博-好的用戶體驗往往造成了不好的安全隱患,一旦黑客攻破了服務器,比如:通過一些漏洞上傳了一句話木馬用菜刀連了上去,因為服務器數(shù)據(jù)庫比較隱蔽,安全很好,黑客沒法搞定數(shù)據(jù)庫拿到用戶管理員資料。這個時候,黑客只需要靜等站點活動用戶量大的時候,攻擊讓目標服務器崩潰重啟,然后像上面這個Tomcat服務器的把用戶seeion序列化到文件,黑客只需要拿到這個序列化后的包含用戶信息的文件,然后download到本地,自己寫代碼反序列化然后就得到了活躍用戶的登錄帳號信息了!!

 

上一篇:安卓防火墻 PS DroidWall

下一篇:PIX配置手冊一(簡單配置命令)