本书对针对web安全的多种攻击做了详细深入的剖析,适合具有一定经验基础的工程师和对项目安全要求较高的项目经理阅读。 尤其是金融、电信、社保等对安全要求极高的行业,个人觉得一定要读读这本书,强力推荐。
?
失效的身份认证和会话管理
会话劫持
会话固定
非直接会话攻击
?
书中作者使用的是burp suite软件设置代理的,我也推荐两种吧。
第一,使用firefox时,可以安装插件Modify header,同样可以设置代理。
第二,可以使用Fiddler,设置代理,模拟真实用户使用应用,无需登录。
?
如何预防会话攻击
防止固定会话
保护会话令牌
1.采用强算法生成Session ID
2.软硬兼施,会话过期
3.保护你的Cookie
4.提供logout 功能
?