COMPANY NEWS 公司新闻
Industry News 行业新闻
深圳做网站的公司谈会话令牌的不可预测性
发布时间:2014/7/13 22:43:12 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
在深圳网站建设——深圳市方与圆网络科技有限公司的网站上也大家分享过了,在Web应用程序中,会话管理机制是一个基本的安全组件。因此,许多黑客就会可能对会话机制进行漏洞的攻击,而会话管理机制中一个薄弱的环节就是会话令牌生成的过程。
在许多深圳做网站的过程中,网站应用程序的安全取决于它生成的令牌是不可预测的。由于生成令牌的过程是不安全的,攻击者能够确定发给其他用户的令牌,致使会话管理机制易于受到攻击,比如下面这些情况就会是令牌生成过程中薄弱的环节:
*用于一次性访问受保护的资源的令牌
*未使用验证的购物英语程序消费者用于检测现有订单的当前状态的令牌
*发送到用户注册的电子邮件地址的密码恢复令牌
*“记住我”功能使用的永久令牌
*隐藏表单字段中用于防止跨点请求伪造攻击的令牌
实际上,由于当前的许多应用程序都采用成熟的平台机制来生成会话令牌,这些功能都是区域发现有关令牌生成的可利用的缺陷。因此,分析这些弱点,及时发现并采取措施,就可以对这些漏洞加以保护,防止攻击者对会话管理的缺陷的渗透攻击。
在许多深圳做网站的过程中,网站应用程序的安全取决于它生成的令牌是不可预测的。由于生成令牌的过程是不安全的,攻击者能够确定发给其他用户的令牌,致使会话管理机制易于受到攻击,比如下面这些情况就会是令牌生成过程中薄弱的环节:
*用于一次性访问受保护的资源的令牌
*未使用验证的购物英语程序消费者用于检测现有订单的当前状态的令牌
*发送到用户注册的电子邮件地址的密码恢复令牌
*“记住我”功能使用的永久令牌
*隐藏表单字段中用于防止跨点请求伪造攻击的令牌
实际上,由于当前的许多应用程序都采用成熟的平台机制来生成会话令牌,这些功能都是区域发现有关令牌生成的可利用的缺陷。因此,分析这些弱点,及时发现并采取措施,就可以对这些漏洞加以保护,防止攻击者对会话管理的缺陷的渗透攻击。
