抗DDoS设备 64 3.7.认证和会话管理失效 65 概述 n Broken Authentication and Session Management q Web应用程序中的身份验证相关功能存在缺陷，可 能导致认证信息或会话管理数据泄漏，造成使用者 或管理者的身份被盗用 q 典型攻击类型：Session Fixation、Session Hijack 原理 n 使用SSL来保护密码和SessionID q 建立自动注销机制 q 确保“注销登录”的动作能够关闭所有的会话 q 用户登录成功后，系统应生成新会话 q 程序应减少使用cookies当作使用者之身份验证 q 对cookie进行加密签名并进行验证 n 使用工具扫描相关漏洞 q Webscarab等 3.8.不安全的对象直接引用 74 概述 n Insecure direct

由于实现过于 困难。 为了尽可能保证您的 轙 轩 轩 应用程序的安全，轙 轩 轩 包含了一些优秀且易 于使用的安全功能。 • 认证 • 授权 • 使用密码 • 加密 • 视图安全 • 身份验证客户端1 • 最佳实践 • 受信任的代理和头文件 9 . 2 认 认 认证 证 证 认证是鉴定用户身份的过程。它通常使用一个标识符 （如用户名或电子邮 件地址）和一个加密令牌（比如密码或者存取令牌）来 过滤器， 因此 与其他过滤器相比，需要一些稍微不同的方式来实现。 并且还要为 轃 轏 轒 轓 轐 轲 轥 輝 轩 轧 轨 轴 轲 轥 轱 轵 轥 轳 轴 轳 3 禁用身份验证， 这样浏览器就可以安全地确定是否可以 事先做出请求， 而无需发送身份验证凭据。 下面显示了将 譹 譩 譩 譜 警 譩 譬 譴 譥 譲 譳 譜 譃 譯 譲 譳 过滤器添加到从 譹 譩 譩 譜 譲 譥 譳 譴 譜 譁 譣 譴 譩 譶 譥 轳 轥 轲 表中使用两列来记录容差和时间戳信息。 l o a d A l l o w a n c e ( ) 和 s a v e A l l o w a n c e ( ) 可以通过实现对符合当前身份验证的用户的这两列值的读和 保存。 为了提高性能，你也可以考虑使用缓存或 轎 软 轓 轑 轌 存储这些信息。 轉 轭 轰 转 轥 轭 轥 轮 轴 轡 轴 轩 软 轮 轩 轮 轴 轨 轥 U s e r