gpt4 book ai didi

security - 缓解应用层 'firesheep'攻击?

转载 作者:行者123 更新时间:2023-12-01 22:30:23 24 4
gpt4 key购买 nike

人们建议使用哪些方法来缓解网站应用程序的“Firesheep”方法?

我们已经考虑过这一点,从可用性的角度来看,除了对网站的所有流量进行加密之外,减轻攻击对于 Web 开发人员来说可能是一个问题。

我们提出的一个建议是使用基于路径的 Cookie,并对发生帐户操作或个性化交互的特定路径的流量进行加密。然而,这使可用性变得复杂,因为网站的其余部分(未加密 - 未验证)位不知道用户是谁。

是否有人有任何其他建议来减轻这种攻击向量,同时保持可用的可用性水平?

最佳答案

Firesheep没什么新鲜事。 session 劫持已经持续了二十多年。您不需要“加密”您的 cookie,这由您的传输层处理。 Cookie 必须始终是 cryptographic nonce

通常黑客只需在地址栏中输入以下内容即可设置自己的 cookie javascript:document.cookie='SOME_COOKIE',FireSheep 适合那些害怕 1 行 JavaScript 的脚本小子。但这并没有让这种攻击变得更容易执行。

如果您在 session 的整个生命周期中不使用 HTTPS,则 Cookie 可能会被劫持,这属于 OWASP A9 - Insufficient Transport Layer Protection 的一部分。 。但您也可以使用 XSS 劫持 session 。

1)使用httponly cookies 。 (使 JavaScript 无法访问 document.cookie,但您仍然可以使用 xss 进行 session 骑行)

2)使用“secure cookies”(可怕的名字,但它是一个强制浏览器将cookie设为HTTPS的标志。)

3) 使用 Sitewatch(free) 扫描您的 Web 应用程序是否存在 xss或wapiti (open source)

另外不要忘记 CSRF! (哪个 firesheep 没有解决)

关于security - 缓解应用层 'firesheep'攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4017134/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com