攻击会话管理

一.状态要求

二.会话令牌生成过程中的薄弱环节
对于令牌的随机程度的检测可以使用burpsuite sequencer自动化检测。
1.令牌有一定含义
2.令牌可预测
a.隐含序列
b.时间依赖
c.生成的数字随机性不强
3.加密令牌

三.会话令牌处理中的薄弱环节
1.在网络中泄露令牌
2.在日志中泄露令牌
3.令牌-会话映射易受攻击
4.会话终止易受攻击
5.客户端暴露在令牌劫持风险之中
6.宽泛的cookie范围 cookie域限制 cookie路径限制

四.保障会话管理的安全
1.生成强大的令牌
2.在整个生命周期中保证令牌的安全
3.日志,监控与警报。
提供反常行为记录,反应性会话终止

发表评论

电子邮件地址不会被公开。 必填项已用*标注