问题标签 [session-hijacking]

我知道避免会话劫持的唯一方法https，但有时我们不想使用它。所以我考虑了替代方法。

我解释了我的方法，这可能还是好方法？

认为我们有第三方服务器（我称之为 Padra），它为您提供 API 来检查会话和 cookie，您将在您的网站视图中调用 Padra jt 文件（会话和 cookie 由 Padra 域名保存，您没有直接访问它，但 padra 使用 SSL），然后您可以通过调用 Padra API 在服务器端检查会话和 cookie 值。

你怎么看待这件事？

我正在用 Java 开发一个似乎有会话劫持漏洞的应用程序。

为了防止这种情况，建议JSESSIONID在登录后为用户更改

我的应用程序基于 Struts 2.0 和 Tomcat 7，并且我已经实现了一个代码来更改JSESSIONID用户登录后的内容。

但是我在运行代码时遇到了以下问题。

这是我写的代码：

大多数 Web 应用程序使用 cookie 来管理用户的会话，即使浏览器关闭，您也可以保持登录状态。

假设我们按规定做了所有事情来确保 cookie 本身是安全的。

• 加密内容
• 仅设置 http
• 设置安全
• ssl 用于连接
• 我们检查是否篡改了 cookie 的内容

是否可以防止对机器具有物理访问权限的人复制 cookie 并在另一台机器上重用它，从而窃取会话？

我正在构建一个会话控制库，旨在在会话存储上实现一种（有限的）安全形式，以防止会话劫持（没有 SSL）。

它通过设置一个 nonce cookie 来工作，该 cookie 在每个请求上都会更改为一个随机字符串。到目前为止，它运行良好，并且我想出了一个基本的方法来保持会话数据在连接过早超时并且 cookie 无法到达客户端时保持有效。它通过保留设置的最后一个 nonce 来做到这一点，如果旧的 nonce 就位，它不会更新它。它也仅在几秒钟内有效。

但这确实提供了一个小的安全漏洞，可能会被黑客利用一小段时间来利用，我现在正试图堵住这个漏洞。

到目前为止，我能确定的最好方法是以某种方式检查连接是否持续了足够长的时间，以便将 cookie 发送到客户端。我查看过connection_handling，但我不确定 cookie 是否已通过网络发送（即使状态为normal时setcookie）或已被浏览器接受。

那么，是否有任何方法可以确认是否已在客户端浏览器上设置了 cookie，而无需等待客户端发出另一个请求？

我正在构建一个网络应用程序，并希望添加一些“体面”的安全级别。它不是下一代银行平台，因此不需要过度杀戮。但是，我确实希望保护您免受当地社区黑客的侵害，因为该应用程序估计有 10k 用户使用。

为了做到这一点，我想我试试 Codeigniter。我不习惯这个框架，所以我只会将它用于“更简单”的安全处理。请注意，我不是网络安全方面的专家。

基本上，我将在我的代码中添加/修改的是：

• 处理SQL 注入：使用查询绑定。

• 处理XSS：在配置文件中启用它：$config['global_xss_filtering'] = TRUE;. 文档说过滤器在每次遇到 POST 或 COOKIE 数据时都会自动运行。我怎样才能保护这样的输出（使用 codeingniter），而不是？$name = $_GET['name']; echo "Hi $name!";

• 处理CSRF：在配置文件中启用它：$config['csrf_protection'] = TRUE;

• 处理会话黑客：使用这样的会话：$this->session->userdata('userid');

正如我所说，我不是安全专家，因此我想知道这些（并且只有这些）修改是否会给我一个可接受的安全级别，或者是否存在仍然需要研究的严重安全线程？

关于我的应用程序的其他一些说明：

• 我的应用程序不允许用户将文件上传到我的服务器。
• 登录由 Facebook 完成。在重要页面上，我验证访问令牌（它是否由我的应用程序发出，是否为当前登录的用户发出等。如果没有，页面将不会加载），以及权限/管理员权限，所以我认为自动化和身份验证部分足够安全。

我正在使用这些文档来集成一定程度的会话劫持保护（页面底部）。虽然我可以理解文章解释的基本内容，但我对这一切仍然很陌生，我只是无法确定我应该做什么。

我知道这将如何工作：

...而且我有点理解这如何使上述内容更加安全：

但是，我坚持将两者组合成一个工作脚本。文档状态：

我们应该将此指纹作为 URL 变量传递。

这意味着什么？我需要在 URL 中传递指纹，然后在每个页面上使用 $_GET 吗？谁能帮助我将这两个代码片段合并到一个文件中，我可以将其包含在我的所有 PHP 文件中？

最近在我们的一个 ASP.NET 应用程序中使用 IBM AppScan 进行的安全扫描中，报告了以下中等漏洞

会话标识符未更新
严重性：中等
风险：可能会窃取或操纵客户会话和 cookie，这些会话和 cookie 可能被用来冒充合法用户，允许黑客查看或更改用户记录，并以该用户身份执行交易
原因：不安全的 Web 应用程序编程或配置。

我发现不同的线程谈论相同的内容并找到了建议的解决方案。但在那篇知识库文章中， Microsoft 解释了重用会话 ID 的用途，并且同一篇文章没有提到重用会话 ID 的任何风险。同样在会话标识符 | 除了 SessionID 值之外， MSDN没有提到任何风险，无论是作为 cookie 还是作为 URL 的一部分，都以明文形式发送。

所以我的问题是风险是真正的漏洞/可能的会话固定攻击还是只是误报风险？

我可以使用查看 cookie

但问题是并非所有 cookie 都会出现。有什么方法可以读取特定的 cookie，例如使用 Javascript 的 XS cookie？它应该具有与此相同的工作概念。谢谢。

我有一个用户表，它包含 ff.

场景如下：
如果UserA成功登录，IP行会插入一个IP，如果有人试图登录或攻击，它会先检查IP是否存在（意思是：帐户正在使用中），如果它确实，它会拒绝登录请求。如果 UserA 注销，则行上的 IP 将变为空。

这足以保护我的登录名和用户吗？

ASP.Net 将会话存储在 cookie 中。

我的担忧：同一客户端计算机的任何其他用户可以访问该 cookie 并窃取我的会话吗？

为什么？

我认为这个问题适用于 PHP、Java 和所有使用会话的 Web 技术......