下载后可任意编辑安全攻击及防范手册模板1下载后可任意编辑 8 月1安全攻击及防范手册__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________下载后可任意编辑1概述概述1.1简介简介 当今世界, Internet(因特网)已经成为一个非常重要的基础平台, 很多企业都将应用架设在该平台上, 为客户提供更为方便、 快捷的服务支持。这些应用在功能和性能上, 都在不断的完善和提高, 然而在非常重要的安全性上, 却没有得到足够的重视。随着 WEB 技术应用的范围越来越广泛, WEB 技术相关的安全漏洞越来越多的被挖掘出来, 而针对 WEB 站点的攻击已经成为了最流行的攻击途径。 不久前项目管理部对公司内外重点系统进行了一次安全隐患分析测试, 并总结出了《公司安全测试问题分类及描述》的报告文档。本文针对此报告中提到的一些重大安全隐患问题逐一分析, 并给出相应的解决方案。1.2参考资料参考资料《Java 安全性编程实例》《网站系统安全开发手册》《企业级 Java 安全性(构建安全的 J2EE 应用)》2WEBWEB 安全隐患及预防措施安全隐患及预防措施2.1会话标识未更新会话标识未更新1.1.1 描述描述登陆过程前后会话标识的比较, 显示它们并未更新, 这表示有可能伪装用户。初步得知会话标识值后, 远程攻击者有可能得2下载后可任意编辑以充当已登录的合法用户。1.1.2 安全级别安全级别高。1.1.3 安全风险安全风险可能会窃取或操纵客户会话和 cookie, 它们可能用于模仿合法用户, 从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。1.1.4 解决方案解决方案 不要接受外部创立的会话标识。 始终生成新的会话, 供用户成功认证时登录。 防止用户操纵会话标识。 请勿接受用户浏览器登录时所提供的会话标识。 假如有验证码的。验证码改用 application 存储。同时记得释放资源1.1.5 技术实现技术实现 登陆界面和登陆成功的界面一致时修改后台逻辑, 在验证登陆逻辑的时候, 先强制让当前session 过期, 然后用新的 session 存储信息。 登陆界面和登陆成功的界面不一致时在登陆界面...
