问题标签 [session-replay]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - 如何使用 Rails 和 Devise 防止会话重放攻击?
我正在开发一个最近通过安全审核的 Rails 应用程序,他们提出的一个问题是,如果用户从另一个用户的 cookie 中获取“session_id”,他就能够以该用户身份登录。有可能防止这种情况吗?我将如何使用我当前的设置来做到这一点?
Rails 3.2.12
设计(2.1.2)
我config/initializers/session_store.rb
的是
在生产中启用强制 SSL
我查看了Rails 4 Encrypted Cookie Replay Attack但由于我的会话使用活动记录,我不确定我是否可以这样做。
我试图:session_limitable
从Devise security extension添加,但它似乎完全在做其他事情。
引用安全测试结果
通过确保一次只有 1 个登录处于活动状态来减轻会话重播。-- 只需更改“_session_id”cookie 即可以其他用户身份登录
https - Fiddler 重放 HTTPS 请求
是否可以使用 Fiddler/TamperData 重播 HTTPS 请求,可能是由于登录过程处理不当?一旦我注销我的系统 (https),我就可以使用重播重新登录。Simon Buchan 已经提到过 HTTPS 无法重放。参考:https ://stackoverflow.com/a/2770133/1502619
如果重播让我登录,这是否意味着我的登录没有处理重播攻击,还是我没有正确注销?
html - 如何在不从服务器接收实际响应的情况下从记录的日志中检索 HTTP 响应?
我认为它应该是这样工作的:我在在线浏览我的网站时记录 HTTP 活动。然后,当离线运行我的网站的 HTML 时,没有网络活动。当发出请求时,会从记录的日志中检索响应。
我需要知道我该怎么做。
我认为这个工具离我想要做的很近。但是,不幸的是,我不知道如何在我的情况下使用它。
security - HMAC 时间戳调整
我已经查看了很多关于保护 RESTful Web API 的 HMAC 方法的信息。为了防止重放攻击,通常的建议是使用带有约束的时间戳。
但在我看来,一种更直接(且万无一失)的方法是要求一个唯一的时间戳,其中服务器每个客户端只接受一次特定的时间戳,因此来自特定客户端的所有请求都必须有一个独特的时间戳。
与通常的建议相比,这种 TImeStamping 方法是否有任何弱点?
fiddler - Fiddler 以尊重时间的方式请求 HTTP 请求
是否可以使用 Fiddler 重放 HTTP 请求并遵守捕获的会话时间?
我试图用 fiddler 重播会话,但重播以最大速度发送请求,忽略了捕获时间。
我试图将其添加到 onBeforeRequest() 函数中:
但效果不佳,我必须为每个捕获的 URI 重复此操作。
我需要重播捕获的会话,但请求必须以与记录相同的延迟发送。可能吗?
firefox - 从我的 mozilla 插件记录 Firefox Web 浏览器会话
我正在开发一个 mozilla 插件,现在我必须将特定时间的浏览器会话记录为视频并将其发送到服务器。网络会话的记录将从我的插件触发和停止。我将如何记录网络会话?是否需要将任何 jquery 插件添加到我的插件中,还是插件 sdk 提供的任何其他来源?
security - 会话重放 vs 会话固定 vs 会话劫持
任何人都可以明确区分会话固定、会话重放和会话劫持攻击吗?我看过很多文章,但是会话劫持和会话重放攻击之间的问题仍然不清楚。
android - 如何实现类似于 Hotjar 的会话记录,但针对移动应用程序
对于 Web 应用程序,您只需使用 MutationObserver 记录所有 DOM 更改,然后重播它们。移动应用程序有哪些选择?
typescript - Next.js、Styled-components 和 Yandex Metrica 会话重放
我正在一个使用 Next.js 和 styled-components 的项目中工作。在我的文件 [slug].tsx 中:
大多数标签来自样式组件,例如:
我已经关注了 Next.js ( https://styled-components.com/docs/advanced#ne xtjs ) 的 styled-components 文档,我的 .babelrc:
_document.tsx:
该项目需要 Yandex Session Replay 工作,但是当我的应用程序在生产中加载时,控制台中没有错误并且 Yandex Session Replay 不会呈现 CSS:
有什么建议么?
谢谢。
http - 是否可以准确地影子一个有状态的网站?
我需要解决仅在生产中出现的错误,我希望使用https://goreplay.org/shadowing.html方法。理论上这一切听起来很神奇,但仔细考虑之后,我认为这次尝试会失败。
有问题的应用程序使用用户会话、CSRF 令牌等。这不会使重放失败吗?会话是 CSRF 令牌专门设计用于使我尝试做的事情失败。
例如,假设我正在将用于服务器 A 的真实流量重播到服务器 B:
- Request1A: POST login&user=test&password=pass
- Request1B: POST 登录&user=test&password=pass
- Response1A:SESSION=1234(随机生成)
- Response1B:SESSION=9876(随机生成)
- 请求 2A:获取 COOKIE:会话 = 1234
- Request2B: GET COOKIE:SESSION= 1234(仅重放请求,因此它不知道在重放期间它必须使用会话 9876 - 所以它失败了)
问题是,对于有状态的应用程序,这是一条双向街道,不是吗?下一个请求取决于上一个响应,我不能只是重播它并期望它起作用。
这是否意味着阴影方法仅适用于无状态 HTTP API?- 文章没有说明这种限制。还是我完全误解了这一切?
如果我理解正确,是否有技巧可以使这项工作正常进行?或者这是因为安全措施使这成为不可能而设计的?