本书的试读章节让我们知道了会话劫持的危害性,对身份验证和会话管理做了详细的讲解。首先让我们看看下面两个概念:
1.什么是OWASP?
OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
2.什么是ESAPI?
ESAPI (OWASP企业安全应用程序接口)是一个免费、开源的、网页应用程序安全控件库,它使程序员能够更容易写出更低风险的程序。ESAPI接口库被设计来使程序员能够更容易的在现有的程序中引入安全因素。ESAPI库也可以成为作为新程序开发的基础。
伴随互联网的高速发展,基于B/S架构的业务系统对安全要求越来越高,安全从业人员面临空前的压力。如何让安全从业人员快速掌握Web应用安全?
在安全领域中,有两个非常重要的概念— —Authentication(身份验证)和Authorization(授权)。Authentication说明你是谁,Authorization说明你可以干什么?在当今的网络应用中最常见的身份认证方式就是用户名加密码或者其他的只有当前用户知道的一些私人问题。
我们将采用什么措施来保护我们的会话?
1.采用强算法生成Session ID.
2.软硬兼施,会话过期.
3.保护你的Cookie.
4.提供logout功能.
现在很多网银登录是是采用两种身份验证,一般的都是用户名/密码加上手机的一个动态指令来进行身份验证。
但是,我在用的过程中觉得还不是那么的安全,因为你登录之后忘记了退出,当我下次登录的时候就没有了手机动态指令的输入。这是一个很大的安全隐患,所以我觉得安全身份验证越多,就越加的安全。
相关推荐
文档内容是 Web应用安全威胁与防治+基于OWASP+Top+10与ESAPI.pdf 整本书
以当今公认的安全权威机构OWASP(Open Web Application Security Project)制定的OWASP Top 10为蓝本,介绍了十项最严重的Web应用程序安全风险, 并利用ESAPI(Enterprise Security API)提出了解决方案。
ESAPI
web安全测试:工具的应用、安全编程、漏洞扫描
web应用安全与加速详解
在Internet大众化及Web技术飞速演变的今天,Web安全所面临的...本规范主要包括三大内容:Web设计安全、Web编程安全、Web配置安全,配套CBB,多管齐下,实现Web应用的整体安全性;本规范主要以JSP/Java编程语言为例。
WEB应用安全解决方案WEB应用安全解决方案WEB应用安全解决方案
信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.pdf
web应用安全基线,适用于web应用。Web应用提供了应当遵循的安全标准
GAT 1107-2013 信息安全技术 web应用安全扫描产品安全技术要求.pdf
Web应用安全培训
像其它网络攻击一样,如SQL injection,很多对跨站脚本(cross-site scripting, XSS)的指责都指向引起可能性的不安全应用。动态产生页面的网络服务器应用如果不能确认用户输入并确保产生的页面都正确编码了,他们会...
《web之困:现代web应用安全指南》在web安全领域有“圣经”的美誉,在世界范围内被安全工作者和web从业人员广为称道,由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写,是目前唯一深度探索现代...
Web的安全威胁与安全防护.doc
Web之困:现代Web应用安全指南 Web之困:现代Web应用安全指南
web安全领域的圣经。作者是在底层安全、web应用层安全方面都很屌,是著名的Fuzz工具AFL的作者。
web 应用安全开发资料,很有价值的。
标准规定了web应用安全扫描产品的安全功能需求、性能要求、自身安全功能要求、安全保证要求及等级划分要求。
Web应用安全基线分解.pdfWeb应用安全基线分解.pdfWeb应用安全基线分解.pdfWeb应用安全基线分解.pdfWeb应用安全基线分解.pdfWeb应用安全基线分解.pdfWeb应用安全基线分解.pdfWeb应用安全基线分解.pdf