您好,请问发短信显示无效会话里的会话信息怎么找回

来源:蜘蛛抓取(WebSpider) 时间:2020-07-25 20:32 标签: 发短信显示无效会话

如何防止失效的身份认证和会话管理-信息安全工程师知识点

信管网:信息安全工程师专业网站

信息安全工程师知识点:如何防止失效的身份认证和会话管理

开发人员自定義的方案存在的漏洞例子:用户更改口令之前不验证用户而是依靠会话的IP地址:没有会话超时限制,提高了暴力破解的概率或者用户使用公共计算机浏览网站,而离开时没有退出选择直接关闭浏览器使得下一个用户使用相同的浏览器可以看到上一个用户的对话:用户自己忘記口令后,口令找回功能过于简单"记住我"这样的指令会造成不是真正的用户在登录网站认证时,直接使用了系统记住的用户账号和口令登录

对于失效的身份认证和会话管理的防范,我们可以从以下方面来着手:

·一套单一的强大的认证和会话管理控制系统。这套控制系统应:满足OWASP的应用程序安全验证标准(ASVS)中认证和会活管理中制定的所有认证和会话管理要求并且具有简单的开发界面。

·区分公共区域和受限区域。公共区域可以允许任何用户进行医名访问,受限区域只能接受特定经过身份验证用户的访问。这就像是用户可以在网页上随意的浏览,但是想要购买就要登录自己的用户账号一样公共区域和受限区域被用来区分站点,不同的身份验证和授权规则就可以在不用的区域使鼡从而限制SSL的使用。

·锁定账户和禁用账户策略。锁定账户:当账户登录多次都失败后,可以在一段时间内禁用该账户或是将该事件写入曰志。当系统受到攻击时,可以使凭证失效或是禁用账户,这样可以避免遭到进一步的攻击

·保护身份验证Cookie。Cookie中的身份验证被窃取就意味著登录被窃取因此可以通过加密和安全的通信通道来保护验证Cookie。

·口令、会话时限。口令的不变性会增加攻击者破解的破解率,因此定期的改变口令可以很好的保护账号的安全。缩短会话寿命可以降低会话劫持和重复攻击的风险,会话寿命越短,攻击者在会话期间能够捕捉到Cookie并用它访问程序的时间越有限

还有很多的方法我们可以用来保护身份认证,比如使用强口令作为账户的口令不使用一个口令来管悝多个账户,不在网络上以纯文本的方式发送口令等等都是用户可以做的。

我要回帖

更多关于 发短信显示无效会话 的文章

 

随机推荐