1
我正在將用戶狀態(登錄/用戶ID)存儲在應用引擎上的會話中。知道其他用戶UserId的用戶是否可以操縱他們的Cookie並以其他用戶身份登錄。App引擎會話安全問題
我應該採取哪些措施來防止這種情況發生?
A
回答
2
一個用戶無法直接訪問其他用戶的數據。但是,有一種方法可以讓一個用戶竊取另一個用戶的登錄會話。但是這不是特定於GAE的。
參見:
- http://en.wikipedia.org/wiki/Session_hijacking
- http://en.wikipedia.org/wiki/Cross-site_request_forgery(CSRF)
劫持可以很容易地在一個開放的WiFi熱點發生。一個常見的解決方案是用SSL託管您的網站。
當用戶登錄到您的網站並在同一瀏覽器中打開惡意網站時,會發生CSRF。有多種方法可以防止這種情況發生。一個常見的解決方案是在HTML表單中包含隨機的validation token。此外,請設置HTTP響應header:X-Frame-Options: sameorigin,並且檢查請求標頭X-Requested-With不等於非Ajax匹配的「XMLHttpRequest」。
XSS可以用來使這些攻擊更有效,所以也要防止它。
對於這些類型的攻擊一般來說,快速讓您的用戶sessions expire。
1
我不是安全專家。但我已經學會:
- 使用HTTPS
- 沒有幀使用
- 使用在形成新的CSRF令牌爲每個請求
- 並保存狀態在數據存儲,而不是使用一個會話cookie商店。
相關問題
- 1. App引擎會話超時
- 2. PHP會話安全問題
- 3. Google App引擎管理的安全問題
- 4. App引擎上傳問題。
- 5. PHP/MySQL搜索引擎會話問題
- 6. iOS App Transport安全問題
- 7. 會話超時安全問題
- 8. ASP.NET會話狀態安全問題
- 9. Codeigniter/PHP會話安全問題
- 10. App Engine&Spring安全性:併發會話
- 11. App引擎數據建模問題
- 12. App引擎模塊導入問題
- 13. 會話安全
- 14. 問題與「安全」和ASP.NET路由引擎
- 15. jbpm 6.1中運行時引擎的安全問題?
- 16. 表達式引擎上的PHP本機會話問題
- 17. 虛幻引擎4.16有問題查找會話(bug?)
- 18. 滑軌 - 清除引擎 - 安裝問題
- 19. 使用gwt和app引擎安全地發送密碼?
- 20. 會話安全性?
- 21. asp.net會話安全
- 22. Codeigniter會話安全
- 23. php會話安全
- 24. suPHP安全會話
- 25. PHP會話安全
- 26. PHP - 會話 - 安全
- 27. Matlab引擎問題
- 28. 引擎Matlab問題
- 29. 會話問題 - 但會話問題?
- 30. 使用SQLAlchemy與引擎/連接而不是會話是線程安全的嗎?
+1,你可以提到cookie falgs和owasp a9。 – rook