【发布时间】:2012-09-27 07:31:05
【问题描述】:
为了避免用户登录后的会话劫持,我可以在登录过程中依赖哪些信息来验证确实是合法用户。这样拦截会话中继的人就会失效
他们的 IP 地址和浏览器信息是否足够好?
【问题讨论】:
标签: asp.net session security owasp session-hijacking
【发布时间】:2012-09-27 07:31:05
【问题描述】:
【讨论】:
-
链接的 IP 欺骗文章实际上是关于使用代理来更改您的 IP 地址,而不是冒充另一个用户的 IP(我称之为欺骗)。您可以使用 IP 地址作为额外检查以及使用存储在 cookie 中的不可预测的令牌值,但 IP 检查不能防止来自使用 NAT 的同一防火墙后面的其他用户。此外,AOL 和其他一些服务可以在会话过程中为同一用户提供不同的 IP。您可以检查浏览器信息,但这只能防止偶然的攻击者(Ob.. 的安全性)。
-
@SilverlightFox,我通常认为欺骗是谎报您的 IP 地址 :)
-
您并没有在 IP 地址上撒谎,就像您通过代理连接时一样,即您的 IP 地址。 ;-)
您可以要求用户在执行重要操作(例如更改电子邮件地址)之前重新进行身份验证(再次输入密码)。没有针对会话劫持的万无一失的保护,您需要选择准备以安全的名义牺牲多少可用性。
【讨论】:
-
好收获。在我看来,(网络应用程序)安全中的任何内容都没有防弹保护。安全是一段旅程,而不是目的地