我正在Odoo 8上为我的公司构建产品。我想知道如何阻止我的应用程序进行会话劫持。我已经采取了一些步骤:
成功登录和退出后更改会话ID。
还使用ssl加密客户端和服务器之间的数据。
但是我公司的安全团队没有签署我的产品,因为他们说我们可以将登录的cookie复制到其他浏览器并且可以轻松访问该帐户,但据我所知,如果可能的话机器受到了物理损害。我不知道我现在应该怎么做。
任何有关这方面的帮助都会很明显。
答案 0 :(得分:0)
如果您已正确配置SSL,则攻击者无法获取已登录用户的Cookie。唯一的方法是将其粘贴到登录用户的计算机上。但是,为什么不完全使用计算机而不打算复制粘贴cookie?
您可以通过要求他们破解您的帐户来展示他们 - 而无需向他们提供您的计算机。请记住,Odoo中的大量数据传输是通过JSON-RPC完成的。因此,请确保也加密该数据。
这个答案提供了一般有关会话劫持的一些有价值的想法https://stackoverflow.com/a/12545243/4832607