第6章 失效的认证和会话管理.pptxVIP

第6章 失效的认证和会话管理A2-失效的身份认证及会话管理第6章 失效的认证和会话管理教学目标 1.了解失效的认证和会话带来的危险性。 2.掌握失效的认证和会话的原理与方法。 3.掌握检测认证和会话漏洞的方法。 4.掌握失效的认证和会话的防御方法。教学重点、难点 掌握检测认证和会话漏洞的方法。身份认证和会话管理 在安全领域中，有两个非常重要的概念--Authentication（身份验证）和Authorization（授权）。Authentication说明你是谁，Authorization说明你可以干什么？在当今的网络应用中，最常见的身份认证方式就是用户名（ID）加密码或者其他的只有当前用户知道的一些私人问题。更为强壮的认证方式是基于硬件或者人的生物特征，比如指纹锁。Web身份认证和会话管理身份认证：最常见的是登录功能，往往是提交用户名和密码，在安全性要求更高的情况下，有防止密码暴力破解的验证码，基于客户端的证书，物理口令卡等等。会话管理：HTTP本身是无状态的，不会记录前一次传输的数据信息，因此无法实现服务器和客户端的交互。解决方法：利用cookie和session机制。利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌，通常放在cookie中，之后对用户身份的识别根据这个授权的令牌进行识别，而不需要每次都要登陆。Cookie技术Cookie技术采用的是在客户端保持状态的方案。Cookie技术Cookie的规范Cookie由服务器端向客户端写入，包含在http响应头中的set-cookie字段，格式如下：Set-cookie name = value | path |domain |expires |httponlySet-cookie：HTTP响应头，Web服务器通过此HTTP头向客户端发送cookieName= value：cookie变量的名称，Value：赋予cookie的值Path：请求页面的路径Domain：cookie的作用范围（域名）Expires：过期时间Httponly:禁止Javascript读取Cookie的分类若不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie一般保存在内存里，当然这种行为并不是规范规定的。若设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间，这种被称为永久性cookie。存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。Cookie的安全Cookie技术采用的是在客户端保持状态的方案。脚本语言，可以盗取cookie，当cookie中包含用户的敏感信息时，因此攻击者可以利用XSS技术，盗取cookie信息，这样会造成用户信息泄露，甚至重放攻击。Session机制Session机制，相对于cookie机制，就是将会话信息存储于服务器端，而非客户端，并且存储于服务器端内存中，会话结束而失效。Session机制的实现，是在服务器端保存状态。相比客户端cookie存储，安全性更高。Session机制当用户第一次访问web站点时，由服务器记录会话，并生成sessionID用来标识一个客户端的会话。同时，通过cookie向客户端传递这个sessionID。客户端后续的会话，会由浏览器自动携带这个sessionID，服务器根据保存的sessionID和收到的sessionID来判断会话信息的。Session的安全性Session由于保存于服务器端的内存中，生存周期较短，不容易泄露，并可以有效防止重放攻击。相比较cookie技术更安全。但是，session机制，必须依赖cookie技术。如果客户端禁用了cookie，那么必须依赖URL重写等技术来实现客户端携带sessionID信息。关键名词定义会话ID（SessionID）：由服务器产生并返回给浏览器的请求，并且在浏览器中存储（通常来说是Cookie），它用来标识浏览器与服务器会话的唯一值。 我们通过SID的名字就可以基本判定应用服务器和编程语言是什么，如PHPSESSID （PHP）、JSESSIONID（J2EE）、ASP.NET_SessionId （ASP.NET）等。所以我们推荐把默认的SID的名字换成大众一点的名字，如ID。 为了防止暴力破解，SID必须有一定的长度，它的长度至少要128位（16字节）。此外，SID还必须是不可预测的（随机的），来防止预测攻击，这就需要一个好的随机数产生器。关键名词定义Cookie：指浏览器客户端用来存储SID的内存或者文件。会话内存分配：在服务器端存储来自浏览器请