Comment protéger mes utilisateurs contre le piratage de session?Comment puis-je protéger mes utilisateurs contre le piratage de session?
Répondre
Il y a trois sections dans le Owasp Top 10 for 2010 que vous devriez lire.
1: (!!) A3: "L'authentification et la gestion Cassé session." (!!)
2: "Cross Site Request Forgery" (XSRF)
3: "Cross Site Scripting" (XSS)
De créateurs de StackOverflow blog
Preventing CSRF and XSRF Attacks
Trouvé par googler « Prévenir CSRF »
http://www.google.com/search?client=safari&rls=en&q=prevent+csrf&ie=UTF-8&oe=UTF-8
L'équitation de session est l'une des nombreuses attaques qui peuvent compromettre une session. – rook
Bon point, quand j'ai lu cette question, mon esprit est allé immédiatement à travers la falsification de demande de site, mais vous avez raison, il y a l'homme au milieu et d'autres attaques. –
Une façon que je connaisse est de vérifier la cohérence dans l'adresse IP de l'utilisateur. J'entends par là que l'adresse IP actuelle correspond à l'adresse IP utilisée la dernière fois au cours de la même session. Cela n'empêcherait cependant pas le piratage de sessions par quelqu'un utilisant la même adresse IP.
... et cela n'arrête pas la session avec xsrf ou xss. – rook
envisager l'utilisation d'un sel secret, connu seulement pour le client et le serveur qui est établi à l'ouverture de session (heureusement une ouverture de session de SSL). Ensuite, le serveur peut fournir un compte avec chaque réponse et le client peut fournir un hachage de (compte + sel secret) avec la requête suivante. Un pirate de l'air potentiel n'a pas accès au sel secret et ne peut pas générer le prochain hachage. Même une connexion non-SSL peut probablement établir un sel secret si la connexion est accomplie en utilisant des mots de passe hachés à usage unique.
- 1. Stable PHP CMS pour le piratage contre
- 2. Éviter le piratage de session avec Kohana
- 3. Comment protéger le site Web contre les pirates?
- 4. Comment protéger le fichier SWF contre la décompilation?
- 5. Comment protéger les spammeurs contre l'apache?
- 6. Comment protéger cette fonction contre l'injection SQL?
- 7. Comment protéger un script shell contre le téléchargement?
- 8. Protégez mes programmes contre les renifleurs?
- 9. Comment protéger un juge en ligne contre un code malveillant?
- 10. comment protéger mes programmes WinCE & WinMobile?
- 11. Comment puis-je protéger mes vidéos FLV?
- 12. Comment empêcher l'application asp.net du piratage de session?
- 13. Protéger les classes PHP contre l'instanciation indésirable?
- 14. Comment se défendre contre le piratage si un utilisateur soumet du code XML
- 15. Comment puis-je protéger les utilisateurs contre les contrefaçons de requêtes inter-sites à l'aide de Zend Framework?
- 16. .NET Assemblage signé - comment se protéger contre la suppression de la signature par un utilisateur
- 17. Comment protéger une tâche/cible ANT contre une exécution accidentelle?
- 18. Comment puis-je protéger mon site contre les virus?
- 19. Comment protéger un site contre les pannes d'API?
- 20. Comment se protéger contre l'accès direct aux images?
- 21. Piratage dans le Drupal Connexion
- 22. Comment protéger le référentiel de code contre les tentatives de rupture ou de buggy?
- 23. Comment puis-je protéger mon application .NET contre le détournement de DLL?
- 24. Les utilisateurs obtiennent la session d'autres utilisateurs!
- 25. Utilisateurs et session utilisateur
- 26. Sécuriser une page "merci" contre les utilisateurs non connectés
- 27. GWT RPC - Fait-il assez pour protéger contre CSRF?
- 28. Protéger IE6 contre les exploits lors des tests?
- 29. Comment protéger le contenu statique sur IIS7 en mode classique?
- 30. Protéger des fichiers dans le référentiel git
Quelle plateforme/langue? Voulez-vous parler d'ASP.NET? –
Détails! Nous avons besoin de détails! –
duplication possible de http://stackoverflow.com/questions/22880/what-is-the-best-way-to-prevent-session-hijacking –