我正在针对Struts后端构建一个Flex客户端,我必须找到一种方法来传输会话令牌而不依赖于cookie,因为Flash电影中有I can't use cookies。
我正在考虑将令牌放在邮件正文或URL中。将它放在URL中有一些不好的声誉,安全性。但是,我刚刚读到会话劫持,CSRF和XSS,我真的不明白为什么它应该比cookie更糟糕。如果有的话,在访问特定域时没有透明地发送的cookie更安全,或者是它?
基本上,我能看到的唯一原因是令牌在请求中可见,并且可能会通过浏览器历史记录,Web服务器日志等泄露。这有多糟糕,有没有办法降低风险?还有哪些其他风险?
答案 0 :(得分:4)
这有多糟糕?好吧,我们的竞争对手之一有从他们的内部(基于会话的页面)到我们网站的链接,我在服务器日志中看到了它。使用/ sess / sess_34984923_34423423 /类型的东西快速复制和粘贴,我使用该用户的完全访问权限登录到他们的系统(幸运的是,他们不是管理员,并且它不像银行那样“超级安全”电子邮件等:但仍然)。
此外,根据您实现的具体方式,完整网址(包括会话令牌)可以是代理服务器缓存,甚至可以是Google(如果人们使用Google工具栏)。
我完成此Flash会话交互的方式是将Flash参数(在HTML中)中的会话标识符发送到Flash,然后将其发送回服务器。我发现大多数浏览器/ Flash组合也会发送我进一步验证的cookie。
答案 1 :(得分:1)
我有一个轶事给你。我正在为美国一家知名公司填写一些文件。他们打印出一个由Web应用程序生成的对抗页面,我怎么知道?在页面底部,Window的打印管理器包含了具有JSSESSIONID的URL。
让我说清楚,员工刚给我一张纸,让我立即登录,好像我有他们的用户名和密码。 DOAH!
答案 2 :(得分:0)
我建议您进一步阅读一个名为Session Hijacking的非常严重的安全主题,该主题允许恶意攻击者在拥有会话ID后冒充用户。