参考链接
https://crypto.stanford.edu/cs155old/cs155-spring11/lectures/15-auth-session-mgmt.pdf
服务器更改browser cookie
客户端更改cookie
读取-javascript: document.cookie
设置-document.cookie="name=value;expires=...;"
删除-document.cookie = “name=; expires= Thu, 01-Jan-70”
cookies are identified by (name domain path)
browser发送当前url范围下的cookie到server
即使是https ,网络攻击可以劫持响应,重写set-Cookie
cookie本地保存信息方案
session management
好处:
1.一次性验证用户
2.所有的随后的请求都会和用户绑定
流程图:
储存session token的方式:
1.browser cookie: Set-Cookie : SessionToken=fduhye63sfdb
2.嵌入在URL链接上:https://site.com/checkout ? SessionToken=kh7y3b
3.在一个隐藏的html标签中:<input type=“hidden” name=“sessionid”
value=“kh7y3b”>
问题:
1.browser cookie:每次请求都会发送cookie,甚至不需要的时候
2.嵌入在URL链接上 :token泄漏
3.在一个隐藏的html标签中 :只能储存短session
解决方案:以上方案结合使用
SESSION HIJACKING劫持
攻击者等待用户登录,获取用户的session token 然后劫持 session
劫持方式:
1.可预测的session token
例如用计数当作 session token,解决方案:token = MD5( current time, random nonce )
2.cookie theft (cookie 窃取)
(1). http和https混用
(2).xxs攻击
(3).注销的时候没有把token 失效
3.Session fixation attacks (固定session攻击)
(1). Attacker gets anonymous session token for site.com
(2). Sends URL to user with attacker’s session token
(3). User clicks on URL and logs into site.com this elevates attacker’s token to logged-in token
(4). Attacker uses elevated token to hijack user’s session.
----解决方案
When elevating user from anonymous to logged-in,always issue a new session token
解决方案:
1.最小化客户端的状态
(1)SessionToken = [random unpredictable string] (没有数据嵌入在token中)
(2) ServerstoresalldataassociatedtoSessionToken:userid, login-status, login-time
---很多的数据库查询会给服务端压力
2.大量的客户端的状态
SessionToken:
SID = [ userID, exp. time, data] where data = (capabilities, user data, ...)
SessionToken = Enc-then-MAC (k, SID)
k: key known to all web servers in site.
Server必须一直保持一些用户的状态 例如注销状态。
注意此种方式没有绑定SID到用户的机器
3.绑定sesstionToken到用户的机器
嵌入用户的特定的数据在SID
例如
(1)用户IP 但是用户换台机器 或者更改IP就会登出
(2)Client user agent :Aweakdefenseagainsttheft,butdoesn’thurt.(不太懂怎么理解)
(3)SSL session key:Same problem as IP address (and even worse)
4.注销流程
网站提供一个注销的方法的作用:
i.功能上让用户登录的时候就像不同的用户
ii.安全性上可以防止别人滥用账户
注销要做的事情:
i.客户端删除sessionToken
ii.服务器上记录session token 已过期
---很多网站只进行i中的操作
