使用Firesheep,公共Wi-Fi的所有人现在都拥有了一键会话劫持工具。
它的工作方式 - 据我所知 - 就是简单地捕捉所有流量并获取会话cookie(因此它不会窃取密码)。
据我了解,这也意味着仅靠HTTPS安全登录并不能解决这个问题,因为后续的HTTP流量中仍将包含明文的会话cookie。
将会话与特定IP地址绑定由于NAT而无用,将其与用户代理绑定易于欺骗。
因此,是否始终使用100%的HTTPS是防止此类会话劫持的唯一方法?人们是否可以嗅探整个HTTPS流量,包括握手过程,还是这些内容是安全的?(我想到了重放攻击,但在这方面没有任何知识。)
当然,不使用公共/开放式Wi-Fi网络是更好的选择,但我仍然对网站开发人员可以采取哪些措施来保护他们的用户感兴趣。
Firesheep并不是什么新鲜事物。自从网络应用程序使用会话ID以来,会话劫持已经存在了很长时间。通常黑客只需在地址栏输入以下内容即可设置自己的cookie:javascript:document.cookie='SOME_COOKIE'。这个工具是为脚本小子设计的,他们害怕一行JavaScript。
如果您在整个会话期间没有使用HTTPS,则可能会劫持Cookie,这是OWASP A9-传输层保护不足的一部分。但是您也可以通过XSS劫持会话。
1)使用httponly cookies。
2)使用“secure cookies”(名称可怕,但它是一个标志,强制浏览器使cookie仅限于HTTPS)。
3)扫描您的Web应用程序以查找XSS。
还要不要忘记CSRF!(Firesheep没有解决此问题。)
Rook已经回答了部分问题,我将回答你问题的其他部分。
100% HTTPS始终是防止此类会话劫持的唯一方法吗?
没错。100% HTTPS是唯一的方法。而且百分之百很关键。
人们不能简单地嗅探整个HTTPS流量,包括握手吗?这些东西安全吗?(我在考虑重放攻击,但对那方面没有了解)
HTTPS内置了防止重放攻击的保护机制。如果正确实现,HTTPS是真正安全的。
即使正确实现了HTTPS,也有办法绕过它。SSL Strip就是这样一个工具。该工具并不利用SSL,而是利用人们总是在url中输入mybank.com而不是https://mybank.com的事实。
原始想法来自Kevin Skoglund,如果您有兴趣保护您的应用程序,请查看他的安全PHP教程。 https://www.lynda.com/PHP-tutorials/Creating-Secure-PHP-Websites/133321-2.html
P.S.需要使用其他几种防御措施(至少包括CSRF),才能使AP相对安全
再见 :-)
150;而不是150,结果把当天的所有记录都删除了(真的!)。之后才允许进行一些安全修复。幸运的是,我已经不在那里工作了) - Piskvor left the building