天创培训:您身旁的信息安全培训专家!
栏目列表
开班方案
2019年9月CISP培训开班告诉
主讲教师   张教师、王教师等
开课工夫   2019年9月4日-9日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
课程引见 在线报名
手艺中心您当前位置: > 资本专区 > 手艺中心

WAF开辟之Cookie安全防护

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2018-04-03  关键词:WAF,Cookie

一、媒介
Cookie安全防护功用次要实现以下两个目的
1、避免进犯偷取用户Cookie
2、避免基于Cookie的\号令注入\其他参差不齐的进犯
长处
1、安全(有破解思绪麻烦见告)
2、通用
3、设置简朴
缺陷
1、基于IP地址停止辨认,在不异外网IP的状况下,可偷取Cookie胜利,既不防熟人进犯
2、在登陆后假如IP地址变更,需从头登陆
二、实现
实现思绪是经由过程AES加密Set-Cookie中的键值来确保Cookie的安全,详细如下图:
Set-Cookie加密流程
www.p9y.com
起首获得AES的初始密钥Key,接着判定能否开启客户端IP绑定,是的话AES的密钥为Key+ClientIP,不是则为Key,以后经由过程AES对Set-Cookie的键值停止加密,加密历程中疏忽expires,max-age,domain等保存键,以后重写全部Set-Cookie 
Cookie解密流程
WAF开辟之Cookie安全防护
起首获得AES的初始密钥Key,接着判定能否开启客户端IP绑定,是的话AES的密钥为Key+ClientIP,不是则为Key,以后经由过程AES对Cookie的键值停止解密,解密历程中判定能否开启安全模式,是的话将抛弃无法解密的键值,不是则保存键值,以后重写全部Cookie
开启设置
4531澳门威斯尼斯人
如上图,一共四个选项:
第一个为能否开启Cookie安全防护,默许为封闭;
第二个为能否开启客户端IP绑定,默许为开启;
开启客户端IP绑定后,当攻击者经由过程破绽偷取用户Cookie后,因IP差别招致AES密钥差别,无法胜利解密进而无法登陆体系。封闭客户端IP绑定将无法避免进犯偷取用户 Cookie。
第三个为安全模式挑选;
默许为兼容模式,兼容模式下,假如参数解密失利,将保存,即解密失利的键值将保持原样通报到后端服务器,比方进犯获得的session加密串将间接通报到后端,但因服务器检测不到session键值而无法登陆。安全模式将抛弃所有无法解密的键值。挑选兼容模式无法避免基于Cookie的等进犯。
第四个为密钥,值默许为false,开启后需点击按钮天生随机16位密钥。
实现结果
威尼斯线上娱乐平台
三、总结
Cookie安全防护功用的焦点在于,数据的加密解密都在WAF上停止,密钥无需存储在前端,在没有密钥的状况下,能够以为密文是无法破解的。在开启客户端IP绑定后,能够在全站层面有用避免进犯偷取用户Cookie的状况,攻击者就算拿到用户session的密文也因WAF无法解密而生效。而开启安全模式后,攻击者输入的基于Cookie的\号令注入等因WAF无法解密而被抛弃,从而庇护后端服务器安全。总的来说,该功用能够做为一种低成本的全站进犯减缓计划。
关于WAF而言,该功用的意义在于,后续的防护划定规矩开辟,能够疏忽Cookie方面的划定规矩防护。同时假如基于机能和风险思索,也能够响应的削减进犯以至不要进犯的防护划定规矩,从而削减划定规矩集的保护难度和WAF处置机能。的成绩能够经由过程前端框架处置以及共同其他诸如前端参数加密,机械进修等办法来处理。
关于现有的网站来讲,能够经由过程重写网站架构中Cookie相干的代码来实现一样的功用,实现起来也不庞大。 


0

推荐浏览

vns908070570威尼斯城官网
www.p9y.com
 |  关于天创 |  课程体系 |  最新动态 |  联络我们 |  网站舆图 |  二维码 4531澳门威斯尼斯人
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000
威尼斯线上娱乐平台