COMPANY NEWS 公司新闻
Industry News 行业新闻
深圳网站设计公司在日志中泄露令牌
发布时间:2014/7/21 10:34:34 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
除了之前的的文章中提到的在通信中传送会话令牌外,各种系统日志也会使令牌泄露给未授权方。虽然在深圳网站设计行业中这种情况很少遇到,但由于除了处在网络适当的位置窃听者外,我们还要防御其他各种潜在的攻击者,比如,日志泄露令牌等,这种泄露通常也会带来严重的后果。
许多应用程序在日志中泄露令牌通常是程序的管理人员或监控人员在调查一起违反的某个安全事件中出现最近的会话日志记录,者中监控可以帮助他们搜索当前的会话查询有关的细节,但这监控和控制功能就会泄露了会话的令牌。而且还没有得到良好的控制,允许未授权的用户访问了当前的会话令牌列表,换言之,就会让攻击者进入应用程序的会话机制。
会话令牌出现在姿态日志中的一个主要原因是应用程序使用URL查询字符串,而不是使用HTTP cookie或POST请求主题作为令牌的传输机制。使用这种会话令牌就会小户型各种未授权用户能够访问系统日志。应用程序用户可以通过单击站外链接访问任何服务器的Referer日志,然后挟持令牌会话,执行恶意操作。
许多应用程序在日志中泄露令牌通常是程序的管理人员或监控人员在调查一起违反的某个安全事件中出现最近的会话日志记录,者中监控可以帮助他们搜索当前的会话查询有关的细节,但这监控和控制功能就会泄露了会话的令牌。而且还没有得到良好的控制,允许未授权的用户访问了当前的会话令牌列表,换言之,就会让攻击者进入应用程序的会话机制。
会话令牌出现在姿态日志中的一个主要原因是应用程序使用URL查询字符串,而不是使用HTTP cookie或POST请求主题作为令牌的传输机制。使用这种会话令牌就会小户型各种未授权用户能够访问系统日志。应用程序用户可以通过单击站外链接访问任何服务器的Referer日志,然后挟持令牌会话,执行恶意操作。
