如何防止 Odoo 8 中的会话劫持?

【问题标题】:How to prevent session hijacking in Odoo 8?如何防止 Odoo 8 中的会话劫持?
【发布时间】:2017-05-27 08:53:03
【问题描述】:

我正在 Odoo 8 上为我的公司构建产品。我想知道如何防止我的应用程序被会话劫持。我为此采取了一些步骤:

  1. 成功登录和注销后更改会话 ID。

  2. 还使用 ssl 来加密客户端和服务器之间的数据。

但是我公司的安全团队没有签署我的产品,因为他们说我们可以复制登录的人的 cookie 并将其粘贴到其他浏览器中,并且可以轻松访问该帐户,但根据我的说法,如果机器受到物理损坏。我不知道我现在该怎么办。

对此的任何帮助将不胜感激。

【问题讨论】:

    标签: python openerp session-hijacking


    【解决方案1】:

    如果您已正确配置 SSL,则攻击者将无法获取已登录用户的 cookie。唯一的方法是将其复制粘贴到登录用户的计算机上。但是,为什么不完全使用计算机而不费心复制粘贴 cookie 呢?

    您可以通过要求他们破解您的帐户来证明他们——无需向他们提供您的计算机。请记住,Odoo 中的大量数据传输是通过 JSON-RPC 完成的。因此,请务必同时加密该数据。

    这个答案对一般的会话劫持提供了一些有价值的想法https://stackoverflow.com/a/12545243/4832607

    【讨论】:

      猜你喜欢
      • 2012-08-27
      • 2017-12-22
      • 2010-11-28
      • 2012-05-19
      • 2017-06-15
      • 2012-02-20
      • 2012-09-22
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode