3
Comment protéger mes utilisateurs contre le piratage de session?Comment puis-je protéger mes utilisateurs contre le piratage de session?
A
Répondre
3
Il y a trois sections dans le Owasp Top 10 for 2010 que vous devriez lire.
1: (!!) A3: "L'authentification et la gestion Cassé session." (!!)
2: "Cross Site Request Forgery" (XSRF)
3: "Cross Site Scripting" (XSS)
1
De créateurs de StackOverflow blog
Preventing CSRF and XSRF Attacks
Trouvé par googler « Prévenir CSRF »
http://www.google.com/search?client=safari&rls=en&q=prevent+csrf&ie=UTF-8&oe=UTF-8
+0
L'équitation de session est l'une des nombreuses attaques qui peuvent compromettre une session. – rook
+0
Bon point, quand j'ai lu cette question, mon esprit est allé immédiatement à travers la falsification de demande de site, mais vous avez raison, il y a l'homme au milieu et d'autres attaques. –
1
Une façon que je connaisse est de vérifier la cohérence dans l'adresse IP de l'utilisateur. J'entends par là que l'adresse IP actuelle correspond à l'adresse IP utilisée la dernière fois au cours de la même session. Cela n'empêcherait cependant pas le piratage de sessions par quelqu'un utilisant la même adresse IP.
+1
... et cela n'arrête pas la session avec xsrf ou xss. – rook
0
envisager l'utilisation d'un sel secret, connu seulement pour le client et le serveur qui est établi à l'ouverture de session (heureusement une ouverture de session de SSL). Ensuite, le serveur peut fournir un compte avec chaque réponse et le client peut fournir un hachage de (compte + sel secret) avec la requête suivante. Un pirate de l'air potentiel n'a pas accès au sel secret et ne peut pas générer le prochain hachage. Même une connexion non-SSL peut probablement établir un sel secret si la connexion est accomplie en utilisant des mots de passe hachés à usage unique.
Questions connexes
- 1. Stable PHP CMS pour le piratage contre
- 2. Éviter le piratage de session avec Kohana
- 3. Comment protéger le site Web contre les pirates?
- 4. Comment protéger le fichier SWF contre la décompilation?
- 5. Comment protéger les spammeurs contre l'apache?
- 6. Comment protéger cette fonction contre l'injection SQL?
- 7. Comment protéger un script shell contre le téléchargement?
- 8. Protégez mes programmes contre les renifleurs?
- 9. Comment protéger un juge en ligne contre un code malveillant?
- 10. comment protéger mes programmes WinCE & WinMobile?
- 11. Comment puis-je protéger mes vidéos FLV?
- 12. Comment empêcher l'application asp.net du piratage de session?
- 13. Protéger les classes PHP contre l'instanciation indésirable?
- 14. Comment se défendre contre le piratage si un utilisateur soumet du code XML
- 15. Comment puis-je protéger les utilisateurs contre les contrefaçons de requêtes inter-sites à l'aide de Zend Framework?
- 16. .NET Assemblage signé - comment se protéger contre la suppression de la signature par un utilisateur
- 17. Comment protéger une tâche/cible ANT contre une exécution accidentelle?
- 18. Comment puis-je protéger mon site contre les virus?
- 19. Comment protéger un site contre les pannes d'API?
- 20. Comment se protéger contre l'accès direct aux images?
- 21. Piratage dans le Drupal Connexion
- 22. Comment protéger le référentiel de code contre les tentatives de rupture ou de buggy?
- 23. Comment puis-je protéger mon application .NET contre le détournement de DLL?
- 24. Les utilisateurs obtiennent la session d'autres utilisateurs!
- 25. Utilisateurs et session utilisateur
- 26. Sécuriser une page "merci" contre les utilisateurs non connectés
- 27. GWT RPC - Fait-il assez pour protéger contre CSRF?
- 28. Protéger IE6 contre les exploits lors des tests?
- 29. Comment protéger le contenu statique sur IIS7 en mode classique?
- 30. Protéger des fichiers dans le référentiel git
Quelle plateforme/langue? Voulez-vous parler d'ASP.NET? –
Détails! Nous avons besoin de détails! –
duplication possible de http://stackoverflow.com/questions/22880/what-is-the-best-way-to-prevent-session-hijacking –