我正在开发一个能够处理敏感信息的Web应用程序,许多用户将能够从较低级别操纵其他用户配置文件。等
安全点让我有些困惑和担心。我读了很多关于劫持会话,中间人,会话固定,阅读许多owasp提示,显然我从这个主题上读了很多关于stackoverflow的帖子。
我看到很多教程展示了如何窃取会话cookie,例如在Firefox中复制和操作cookie。但我在所有情况下都看到,攻击者必须执行一步并始终如一。转到Web应用程序URL域...
当攻击者位于URL域(https://www.myawesomwebapp.com/)并且Inject de stolen身份验证COOKIE结束时。但是,如果网址始终不同,会发生什么情况,例如 https://www.myawesomwebapp.com/?time=microtime()
从.htacces,我们可以把de GET ['time']隐藏吧?每次你尝试访问网页时,显然它会在不同的时间,攻击者无法确切知道你何时登录。或者可以用变量GET microtime()...
的特殊盐加密最后,一个网络应用程序以某种方式比较会话COOKIE,尤其是microtime生成的登录GET ['time']。如果他们的匹配继续使用脚本,如果没有,则重定向新的登录,并禁用会话COOKIE的到期时间。
我唯一怀疑的是,在何处以及如何存储此微量时间数据,以便如果合法用户打开另一个浏览器选项卡或只是主要的F5,则不要重新生成新的微量时间值。