这是一本关于web安全的书,可能对于大多是开发者来说,接触最多的还是技术方面的书。对安全的理解可能仅仅停留在HTTPS,SSL认证,密码加密,sql注入。看完试读章节后,我发现自己对安全方面的知识真是太匮乏了。
第六章主要是介绍了几种安全扫描、测试工具的使用,由于工作中接触不到这些工具,在这里只能感叹一下,现在的测试软件真的太强大了。从另一方面,也增长了我的见识,对于Web安全领域,我还是菜鸟,必须要引起重视,有机会一定要亲手操作一下。
本书的精华在于结合各种威胁的发起原理,总结了在设计和编码过程中的安全原则,并且提出了应对的解决方案。
第十章内容是身份认证和会话管理,围绕这个话题的核心对象就是Session。我们都知道,HTTP是无状态的,服务器跟浏览器的会话认证是通过JSESSIONID来实现的。JSESSIONID一旦泄露就直接关系到当前会话的安全。JSESSIONID通常在客户端是存放在cookie中的。为了安全考虑,最好设置cookie的失效时间或者关闭浏览器后失效。
cookie.setMaxAge (0);
在服务器端,为了防治固定会话,一旦用户登录成功以后,马上调用Session.invalidate(),然后新建一个Session,用户使用这个新的会话登录到系统中并进行操作。如果用户登入后长期没有操作,处于安全的考虑,我们也应该将Session过期,让用户重新认证登陆。
<session-config>
<session-timeout>15</session-timeout>
</session-config>
或者
session.setMaxInactiveInterval(15*60);
作为用户来说,网上交易或者支付之后,最好清除缓存和cookie,关闭浏览器后重新打开。
第十二章的内容是跨站请求伪造(CSRF),也就是通过伪造URL来进行攻击。所以,对于重要操作的URL,一定要加上TOKEN来防止伪造。我们最常用的网银的支付转账的操作,要求用户输入支付密码,增加确认界面,都能一定程度的防止CSRF。
除此之外,作为用户,在浏览网页时,对于弹出的窗口如果不确定,应立马关闭,不要去点击。一些垃圾邮件,或者一些莫名其妙的连接,也不要去点。很有可能会中招。
如果我们要在项目中防范CSRF,作者也提到了解决方案,借助ESAPI 在请求中加入TOKEN来防止伪造,通过OWASP CSRF Guard 这个Java 类库,来防止CSRF攻击。