域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

這一部分內(nèi)容的重中之重是session和cookie，客戶在安全使用app系統(tǒng)時(shí)，如何根據(jù)客戶的身份提供不同的功能和相關(guān)數(shù)據(jù)，每個(gè)人都有這樣的體驗(yàn)。例如，訪問(wèn)淘寶，不會(huì)把自己喜歡的商品加入別人的購(gòu)物車，如何區(qū)分不同的客戶？打開(kāi)任何網(wǎng)站，抓住包看，cookie的字段都存在。cookie伴隨著客戶的操作自動(dòng)提交給服務(wù)器方面，想?yún)^(qū)分認(rèn)證前和認(rèn)證后來(lái)到客戶方面，用戶認(rèn)證成功后可以在cookie上寫上標(biāo)志，服務(wù)器在處理請(qǐng)求時(shí)判斷該標(biāo)志即可。

對(duì)于標(biāo)志的設(shè)置，如果直接將客戶稱直接以明確或加密的方式放置在cookie中，如果加密方式被破解，則可能偽造客戶的身份，因此在cookie中直接插入客戶的身份信息是不可取的。對(duì)于客戶身份的設(shè)置，還有session機(jī)制，在用戶認(rèn)證成功后，將客戶的個(gè)人信息和身份信息寫入session，在cookie中的表現(xiàn)只出現(xiàn)sessionID，服務(wù)器方面通過(guò)該sessionID在服務(wù)器上找到指定的數(shù)據(jù)，敏感的數(shù)據(jù)存在于服務(wù)器方面，sessionID的值是隨機(jī)字符串，攻擊者很難推測(cè)其他用戶的sessionID，從而偽造客戶的身份。當(dāng)我們安全使用xss漏洞時(shí)，我們都喜歡獲得客戶的cookie。獲得cookie后，最重要的字段是sessionID。有了他，我們可以偽造他人的身份并獲得他人的數(shù)據(jù)。

根據(jù)會(huì)話內(nèi)容，可以完成以下操作:

作業(yè)1:通過(guò)搜索引擎，尋找可以注冊(cè)的幾個(gè)網(wǎng)站，burp抓住包分析注冊(cè)后的對(duì)話是如何實(shí)現(xiàn)的，是否用session保存用戶信息，token是否可以偽造，是否在cookie保留用戶信息等。作業(yè)2:基于以前的作業(yè)，開(kāi)發(fā)的登錄認(rèn)證頁(yè)面，認(rèn)證成功后，對(duì)不同的賬戶設(shè)定不同的權(quán)限，分別用cookie和session來(lái)顯示客戶的身份，測(cè)試不同的顯示方式可能存在的安全風(fēng)險(xiǎn)。記錄測(cè)試過(guò)程和結(jié)果、相關(guān)代碼和設(shè)計(jì)構(gòu)想形成報(bào)告，共享，共同探討。

目前對(duì)于網(wǎng)站和APP安全漏洞上對(duì)于獲取SESSION和COOKIES的問(wèn)題比較多，很多程序員對(duì)一些提交功能沒(méi)有做更多的過(guò)濾，導(dǎo)致被插入了惡意XSS代碼從而獲取到了后臺(tái)權(quán)限，如果大家想要更全面的檢測(cè)安全漏洞問(wèn)題的話可以像國(guó)內(nèi)的網(wǎng)站安全公司尋求人工滲透測(cè)試服務(wù)的幫助。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！