《web应用安全》 cookie与会话管理

cook与会话管理

会话管理

记住用户登陆后的认证状态是一种常见的需求,使用http认证能使浏览器记住id和密码,但是不使用http认证时,记忆认证状态的任务就交给了服务器,而像这种记忆应用程序状态的功能就叫做会话管理。

cookie

格式:cookie:phpsessid=会话id 

cookie相当于服务器下达给浏览器的命令,让其记住发送给它的“名称=变量”这种格式的值。
1,最初显示页面时,返回的响应信息中含有cookie响应头信息,web服务器向浏览器下达了记住此cookie值的指示。
2.浏览器记住了cookie值,从此在向相同网站发送请求时,就会发送此cookie值

简单的来讲就是,你登陆一个网站输入个密码,服务器给你返回个cookie,每次在这个网站上进行操作的时候,就不用每次都输入密码,因为你每次的请求,浏览器会自动发送cookie和服务器进行认证。

会话id应满足的需求

不能被第三方推测
不能被第三方劫持(预防,认证后改变会话id)
不能被第三方泄露。

会话id泄露的原因

  • 发行cookie时的属性指定有问题
  • 会话id在网络上被监听
  • 跨站脚本漏洞等应用中的安全隐患被泄露
  • 会话id保存在url中的情况下,会通过referer消息头泄露

通常保护会话id不被监听,采用ssl加密

cookie的属性

属性 含义
Domain cookie发送对象服务器的域名
path cookie发送对象url的路径
Expires cookie的有效期限,未指定则表示至浏览器关闭为止
Secure 仅在ssl加密的情况下发送cookie
HttpOnly 指定了此属性的cookie不能被javaScript访问

涉及安全的3个重要属性为Domain Secure HttpOnly

cookie的Domain属性

在需要向多个服务器发送cookie时,就用到了Domain属性
假设 浏览器要给三个服务器发送
a.example.jp
b.example.jp
a.example.com
设置的cookie为:set-cookie:x=123;Domain=example.jp
指定domain为example.jp,因为没有指定example.com,后者就不会被发送.
如果在cookie中指定不同的域名,就可能发生会话固定攻击,所以cookie是不能指定不通域名的。
未指定domian属性时,cookie只会发送给生成它的服务器,发送范围小,也更安全。而设置domain属性时,稍有疏忽,就会产生安全隐患。
原则上不设置ciikie的domain属性

cookie的secure属性

设置了secure属性,的cookie尽在ssl传输的情况下,能够发送给服务器
未设置的 无关是否为ssl传输,都会发送

cookie的HttpOnly属性

给cookie添加httpOnly属性,在php.ini中添加如下设置
session.cookie_httponly = on 

恶意使用javascript进行跨站脚本攻击,从而取得cookie信息,窃取会话id
,设置httpOnly属性可以加大其攻击难度。

你可能感兴趣的:(学习笔记,web应用安全学习,web应用安全学习,cookie,会话管理,HTTP安全)