網站安全防護 什麼是session安全

網站安全防護中session會話安全是目前安全防護中,必須要進行安全部署的,session關係著整個使用者登入網站與網站進行互動,資料傳輸都要進行的會話操作,如果session被劫持,那麼網站裡的使用者賬戶就會被惡意登入,網站管理員的登入也被劫持,造成網站被劫持,被篡改,被跳轉等情況的發生,根據我們SINE安全在對客戶網站進行安全防護部署的時候,發現大部分的客戶網站都沒有對session會話狀態進行安全加固,針對session安全方面,我們跟大家來分享講解一下,讓更多的人瞭解網站安全.

什麼是session網站會話?

簡單來將這個session就是使用者登入網站的時候,會在後端伺服器生成一個seeion值並記錄到伺服器中,跟cookies的道理是差不多的,相當於每個使用者訪問網站,都會單獨的分配一個session給使用者,相當於標記使用者,正常的會話流程是:使用者訪問-建立session值-伺服器資料傳輸給含有session的客戶IP,如果使用者沒有session值那麼伺服器不會與其進行連線互動,不會返回任何資料給使用者,session id是獨立的.

session會話在日常的網站當中經常出現的安全問題就是,session被劫持,攻擊者繞過session檢查,直接獲取使用者的資訊,有些攻擊者甚至偽造session來登入網站,登入任意的會員賬號,有些高階的攻擊者會偽造session來登入網站後臺,獲取管理員許可權.

我們SINE安全經常遇到客戶的session沒有釋放掉,導致session一直可用,攻擊者利用使用者的session對伺服器進行惡意程式碼的傳送,或者是請求一些使用者的操作,像修改使用者的密碼,提現,資料修改等等操作.這種屬於會話重放攻擊.還有一種是訪問者開啟網站後,並未登入賬戶密碼的時候就已經建立了一個session值,這個值在賬戶登入後也是與其session一致,也就是說登入跟未登入的狀態都呼叫的一個session值,如果網站程式在設計過程中沒有對其做安全效驗與過濾,那麼就很容出問題,攻擊者利用一個session值來登入使用者賬戶,獲取資訊,甚至可能導致使用者的資訊洩露.

那麼如何對網站session會話安全做防護呢?

1,賬戶登入後的session值為唯一性,當賬戶退出後將之前寫進伺服器端的session值進行刪除,防止session一直可用.

2.對使用者的許可權做安全過濾,相當於邏輯漏洞範疇裡的,當session訪問一些有管理許可權的頁面時,對其當前管理員賬戶的session進行比對,如果session值不是管理員的,那麼就直接退出頁面並返回錯誤.如果您對網站安全不是太懂的話,建議找專業的網站安全公司來處理,國內SINESAFE,啟明星辰,深信服,綠盟都是比較不錯的.

3.在伺服器端做session的有效時間設定,比如設定12小時使用時間,如果session超過12小時就刪除掉,防止攻擊者惡意利用session會話來劫持攻擊網站.

4.對session做雙向加密驗證,配合cookies進行加密,加密出來的值到伺服器端去解密,才能進行正常的資料通訊.以上就是網站安全防護中對session會話的安全講解分享,也希望我們SINE安全的這次分享,讓越來越多的人深入的瞭解網站安全,只有網站安全了才能保障我們的資訊保安,防止使用者資訊洩露的發生.

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31542418/viewspace-2668719/，如需轉載，請註明出處，否則將追究法律責任。