安全攻击及防范手册VIP免费

2010年8月安全攻击及防范手册____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________版本1.011概述概述1.11.1简介简介当今世界，Internet(因特网)已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。随着WEB技术应用的范围越来越广泛，WEB技术相关的安全漏洞越来越多的被挖掘出来，而针对WEB站点的攻击已经成为了最流行的攻击途径。不久前项目管理部对公司内外重点系统进行了一次安全隐患分析测试，并总结出了《公司安全测试问题分类及描述》的报告文档。本文针对此报告中提到的一些重大安全隐患问题逐一分析，并给出相应的解决方案。1.21.2参考资料参考资料《Java安全性编程实例》《网站系统安全开发手册》《企业级Java安全性(构建安全的J2EE应用)》22WEBWEB安全隐患及预防措施安全隐患及预防措施2.12.1会话标识未更新会话标识未更新2.1.12.1.1描述描述登陆过程前后会话标识的比较，显示它们并未更新，这表示有可能伪装用户。初步得知会话标识值后，远程攻击者有可能得以充当已登录的合法用户。2.1.22.1.2安全级别安全级别高。2.1.32.1.3安全风险安全风险可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。2.1.42.1.4解决方案解决方案不要接受外部创建的会话标识。始终生成新的会话，供用户成功认证时登录。防止用户操纵会话标识。请勿接受用户浏览器登录时所提供的会话标识。如果有验证码的。验证码改用application存储。同时记得释放资源2.1.52.1.5技术实现技术实现登陆界面和登陆成功的界面一致时修改后台逻辑，在验证登陆逻辑的时候，先强制让当前session过期，然后用新的session存储信息。登陆界面和登陆成功的界面不一致时在登陆界面后增加下面一段代码，强制让系统session过期。request.getSession().invalidate();//清空sessionCookiecookie=request.getCookies()[0];//获取cookiecookie.setMaxAge(0);//让cookie过期注意：框架2.0已经修改了登陆验证类，登陆成功后会清理掉当前session，重新创建一个新的session。凡是使用框架2.0的项目均可...