个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
27
4
我目前已经构建了一个系统来检查用户 IP、浏览器和随机字符串 cookie 以确定他是否是管理员。
在最坏的情况下,有人会窃取我的 cookie,使用与我相同的浏览器,并掩盖他的 IP 以显示为我的 IP。我是否应该在我的脚本中添加另一层安全性以使其更安全?
编辑:澄清一下:我的网站绝对不接受用户的输入。我只是在设计一个后端管理面板,以便更轻松地更新数据库条目。
最佳答案
检查浏览器完全是浪费代码。编写一个 trivial 的安全系统是没有意义的供攻击者绕过。如果攻击者通过 xss 或嗅探线路获得 session ID,那么他们也将拥有您的“用户代理”。
检查 ip 地址将迫使攻击者“骑”在带有 XSS+XHR 或 XSRF 的 session 上。这是因为被劫持的 token 不会在他的盒子上工作。不幸的是,这也会导致在多个 IP 地址之间使用传出负载平衡的企业网络出现问题。
HTTPS 必须用于整个 session 。您的 token 绝不能通过 HTTP 发送。这在 The OWASP Top 10 for 2010 的“失效的身份验证和 session 管理”中有清楚的说明。 ,如果您正在编写 session 处理程序,则绝对必须阅读。
session ID 必须始终超时。如果没有超时,则这称为不朽 session ,这是公认的漏洞。
此外,我更担心您的 token 的随机性。确保您学习如何正确生成 cryptographic nonce .确保您的随机数生成器功能强大,并且植入了攻击者无法获知的信息。
我还怀疑您没有考虑到 XSS 和 XSRF。如果您不检查主要漏洞,那么您在其他领域的 session 有多强大都没有关系。确保使用 a free xss scanner 扫描您的应用程序或开源 wapiti。请记住,没有任何测试可以准确地检测到 XSRF,并且您的应用程序中的每个请求都容易受到攻击,除非您专门对其进行修补。
关于python - 网络安全 : Worst-Case Situation,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2670346/
27
4
0
在iOS开发中,保障应用的网络安全是一个非常重要的环节。以下是一些常见的网络安全措施及对应的示例代码: Swift版 1. 使用HTTPS 确保所有的网络请求使用HTTPS协议,以加密数据传输,
如何在 Java 中为椭圆曲线加密生成曲线点? 最佳答案 建议您考虑使用 bouncycastle java libary ,它支持椭圆曲线和 Java ME。在他们的 latest releases
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 11 年前关闭。 Improve this
因此,您总是会听到很多有关网站变得流行,然后遭到黑客攻击的故事。基本上,我将在几周内发布(作为唯一的程序员)一个网站。它是用 MVC2 制作的,将在 Azure 云上运行。 我只是想知道哪些类型的东西
我有一个登录页面 (welcome-page.jsp),它检查用户是否存在于数据库中。如果他提供的密码正确且类型正确,他将被重定向到一个页面。现在我想在发送数据时增加一些安全性。我是新来的...这是登
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我正在尝试通过具有多个源地址的 Terraform 为 Azure 中的网络安全组配置网络安全规则。 基于文档 https://www.terraform.io/docs/providers/azur
我正在开发一个从文本(TTS)生成音频并为用户提供速度/音高控制的播放器的项目。 我的问题与请求安全有关。 用户在我的网站注册时获得了 widget_id,他放了一些 js在他的网站上,而 api 在
我正在关注基于 spring 框架 3.2.4 的应用程序的本教程 http://springdiaries.blogspot.be/2012/12/web-security-preventing-c
我目前已经构建了一个系统来检查用户 IP、浏览器和随机字符串 cookie 以确定他是否是管理员。 在最坏的情况下,有人会窃取我的 cookie,使用与我相同的浏览器,并掩盖他的 IP 以显示为我的
TL;DR 通过网络策略来提升网络安全,可以极大降低了实现和维护的成本,同时对系统几乎没有影响。 尤其是基于 eBPF 技术的 Cilium,解决了内核扩展性不足的问题,从内核层面为工作负载
我允许用户从我的应用程序下载文件。为此,我根据文件类型明确将“Content-Disposition”设置为“内联”或“附件”。现在这有点手册。因此,对于 pdf 文件,我将其设置为“内联”,但对于
我有一个 MEAN 堆栈应用程序,带有类似 API 的 REST。我有两种用户类型:用户和管理员。为了让用户登录并保持 session ,我像这样使用 jsonwebtoken jwt(简化): co
我是一名优秀的程序员,十分优秀!