SEOSERVISE - Защита информации.

 
   
 

Главная


 


Идентификаторы сеансов должны быть независимыми Идентификаторы сеансов не должны основываться на именах пользователей, па­ролях или состояниях приложения. В серверной части можно поддерживать справоч­ ную таблицу, которая будет использоваться для связывания идентификаторов сеансов, регистрационных данных пользователя и состояния приложения. Идентификаторы сеансов должны быть связаны с клиентскими соединениями Во избежание перехвата и повторного использования идентификатора сеанса взломщиком, который находится в той же сети, что и пользователь приложения, на сервере нужно отслеживать IP -адрес клиентского узла и время создания сеанса. Иден­ тификатор сеанса должен быть связан с данными о клиентском соединении. При по­ лучении каждого клиентского запроса информация о текущем соединении должна сравниваться с данными, хранящимися на сервере. При обнаружении несоответствия сеанс должен быть автоматически завершен. Желательно, чтобы идентификатор сеанса после его создания на сервере переда­вался в клиентский броузер только один раз и через безопасное соединение SSL . Та­ кой подход позволит предотвратить атаки, направленные h . i перехват сеанса. Резюме Перехват сеанса Web -приложения осуществить гораздо сложнее, чем большинство других атак. Однако при этом можно достичь разрушительного эффекта. Вне всякого сомнения, возможность реализации подобных атак обусловлена наличием ошибок, допущенных в процессе разработки приложений. Эти изъяны появляются как резуль­тат неудачного проектирования или реализации механизма отслеживания сеансов. Никакие модули обновления операционной системы, брандмауэры или конфигураци­ онные параметры Web -сервера не смогут предотвратить атаки, направленные на пере­ хват сеансов. В этой главе была описана одна из таких атак. Кроме того, были приве­ дены контрмеры, которые позволяют обеспечить для Web -приложения необходимый уровень защиты. Каждый разработчик приложений для Web должен уделять большое внимание вопросам проектирования и реализации механизмов отслеживания сеансов и состояний. В состав современных Web -серверов входят встроенные механизмы от­ слеживания сеансов, а также программные интерфейсы, которые можно использовать для доступа к этим механизмам в процессе разработки Web -приложений.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |