시나리오 : 내 사이트에서 세션을 시작할 때 사용자에게 한 번 표시되는 랜드 토큰을 생성합니다. 그들이 나중에 사용하기 위해 그것을 "저장"한다고 가정 해보십시오. 그런 다음 타임 스탬프가있는 SQL에 md5 (토큰)를 삽입합니다. 사용자가 로그인과 같은 다른 페이지를 방문하면 유효성 검사 프로세스의 일부로 URL을 통해 토큰을 전달해야합니다. 토큰이 있는
현재 내부 네트워크에서 프록시를 사용하는 Google 제품 사용자에게 문제가 있습니다. 시스템 관리자에 따르면 프록시는 포트 80 및 443에 개방되어 있으며 쿠키 등으로는 아무 것도 수행하지 않으며 일부 사이트 만 차단합니다. 문제 : 사용자 X가 응용 프로그램에 로그인하면 사용자 Y도 이전에 응용 프로그램을 사용하지 않은 컴퓨터 (동일한 프록시 뒤에 있
내가 제대로 세션을 설정하고 납치 방지 등 누군가가 질문 중 하나에 게시 그는 다음 코드 것으로 대답을 발견하는 방법에 StackOverflow에 대한 몇 가지 연구를하고 있었다 : 을 를 들어 사용자가 로그인 할 때 사용자가 보호 된 페이지의 경우 로그인 한 경우 확인 사용자 이름과 암호가 일치 $_SESSION['fingerprint'] = md5($_
저는 웹 개발에 익숙하지 않으며 CSRF, XSS 및 세션 하이재킹에 대해 읽었습니다. 제안 된 솔루션 중 하나는 단순히 nonce을 사용하여 요청의 유효성을 검사하는 것입니다. PHP로 세션 하이재킹을 막기 위해이 스크립트를 작성했습니다. 세션 ID를 재생성하는 것과 정신적으로 비슷하다고 생각합니다. 즉 식별자마다 또는 그 조합 (세션 ID와 넌스)이 요
IPv4 및 IPv6 모두에서 작동하는 세션 하이재킹에 대한 보호를 위해 '느슨한'IP 검사를 수행하는 가장 좋은 방법은 무엇입니까? $arr = array(ip_address => connected_times, ...);
가 지금은 느슨한 IP 체크를하고 $ _SERVER [ 'REMOTE_ADDR']에 대해 비교 싶어 : 나는 사용자가 해당 주소에서
이 내 현재의 세션 관리입니다 : if(!isset($_SESSION["user"]["authenticated"]) ||
!$_SESSION["user"]["authenticated"])
redirect("login.php");
if($_SESSION["user"]["browserHash"] != md5($_SERVER["HTTP_US
세션 하이재킹에 대한 기사를 읽었습니다. 제발 말해 asp.net 세션 얼마나 안전합니다. 사람들은 또한 asp.net 세션으로 세션 하이재킹을 할 수 있습니까? 또한 세션 하이재킹에서 내 응용 프로그램을 막을 수있는 방법을 알려주십시오. 당신은 또한 말해보다 좋은 예제가 있다면 그 사람은 그것을 어떻게 내가 내 asp.net 응용 프로그램을 보호 할 수있
내가 일이나 차트를 설명하는 데별로 좋지 않기 때문에 미리 사과드립니다. 이것은 특정 코드 문제는 아니지만 세션 보안에 대한 일반적인 질문입니다. 가능한 한 많은 잠재적 인 문제를 한꺼번에 없애려고합니다. 나는이 돌봐 생각 : CSRF 세션 고정 세션 예측 내가 할 수있는 세션을 실현 쿠키 도용 세션 을 sidejacking (브라우저 취약점을 통해) 공격
내가 이해하는 한, 사용자가 스프링 보안에 로그인하면 세션이 무효화되고 새 세션이 만들어집니다. 그래서 http에서 clear sessionID 쿠키를 사용하면 스프링 보안은 새로운 세션 ID '보안'쿠키를 설정해야합니다.이 쿠키는 후속 https 요청에서만 브라우저에서 다시 전송됩니다. '로그인 한'사용자가 https에서 http로 전환 할 때 세션의 추