本書的試讀章節讓我們知道了會話劫持的危害性,對身份驗證和會話管理做了詳細的講解。首先讓我們看看下面兩個概念:
1.什麼是OWASP?
OWASP開放式Web應用程式安全項目(OWASP,Open Web Application Security Project)是一個組織,它提供有關計算機和網際網路應用程式的公正、實際、有成本效益的資訊。其目的是協助個人、企業和機構來發現和使用可信賴軟體。
2.什麼是ESAPI?
ESAPI (OWASP企業安全應用程式接口)是一個免費、開源的、網頁應用程式安全控件庫,它使程式員能夠更容易寫出更低風險的程式。ESAPI接口庫被設計來使程式員能夠更容易的在現有的程式中引入安全因素。ESAPI庫也可以成為作為新程式開發的基礎。
伴随網際網路的高速發展,基于B/S架構的業務系統對安全要求越來越高,安全從業人員面臨空前的壓力。如何讓安全從業人員快速掌握Web應用安全?
在安全領域中,有兩個非常重要的概念— —Authentication(身份驗證)和Authorization(授權)。Authentication說明你是誰,Authorization說明你可以幹什麼?在當今的網絡應用中最常見的身份認證方式就是使用者名加密碼或者其他的隻有目前使用者知道的一些私人問題。
我們将采用什麼措施來保護我們的會話?
1.采用強算法生成Session ID.
2.軟硬兼施,會話過期.
3.保護你的Cookie.
4.提供logout功能.
現在很多網銀登入是是采用兩種身份驗證,一般的都是使用者名/密碼加上手機的一個動态指令來進行身份驗證。
但是,我在用的過程中覺得還不是那麼的安全,因為你登入之後忘記了退出,當我下次登入的時候就沒有了手機動态指令的輸入。這是一個很大的安全隐患,是以我覺得安全身份驗證越多,就越加的安全。
![《暗時間》讀書筆記及讀後感[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)