建设电商网站的,湖南网站建设策划,上海代理记账公司排名,曰本免费网站文章目录 一、Weak Session IDs(弱会话IDs)二、HTTP协议存在的安全问题三、HTTPS协议3.1 HTTP和HTTPS的区别3.2 SSL协议组成 一、Weak Session IDs(弱会话IDs) 当用户登录后#xff0c;在服务器就会创建一个会话#xff08;Session#xff09;#xff0c;叫做会话控制… 文章目录 一、Weak Session IDs(弱会话IDs)二、HTTP协议存在的安全问题三、HTTPS协议3.1 HTTP和HTTPS的区别3.2 SSL协议组成 一、Weak Session IDs(弱会话IDs) 当用户登录后在服务器就会创建一个会话Session叫做会话控制再访问页面的时候就不用登录只需要携带Session去访问。 Session ID作为特定用户访问站点所需要的唯一内容。如果能够就算或轻易猜到该Session ID则攻击者将可以轻易获取访问权限无需登录直接进入特定用户界面进而执行其他操作。 用户访问服务器的时候在服务器端会创建一个新的会话Session会话中会保存用户的状态和相关信息用于标识用户。服务器端维护所有在线用户的Session此时的认证只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪个Session浏览器需要把当前用户持有的Session ID告知服务器。用户拿到Session ID就会加密后保存在Cookie上之后只要cookie随着http请求发送服务器服务器就知道你是谁了。Session ID一旦在生命周期内被窃取就等于账户失窃。 Session利用的实质由于Session ID是用户登录之后持有的唯一认证凭证因此黑客不需要再攻击登录过程比如密码就可以轻易获取访问权限无需登录密码直接进入特定用户界面进而查找其他漏洞如XSS、文件上传等。 Session劫持就是一种通过窃取用户Session ID使用Session ID登录进目标账户的攻击方法此时攻击者实际上是使用了目标账户的有效Session。如果Session ID是保护在Cookie中则这种攻击可以称为Cookie劫持。Session ID还可以保存在URL中作为一个请求的一个参数但是这种方式的安全性难以经受考验。
二、HTTP协议存在的安全问题
通讯使用明文未加密并且TCP/IP协议是可能会被窃听的网络所以通讯内容可能会被窃听没有验证通讯方的身份可能会被冒充没有办法验证报文的完整性可能会被篡改。
三、HTTPS协议 超文本传输安全协议HyperText Transfer Protocol Secure缩写HTTPS是一种通过计算机网络进行安全通信的传输协议简单来说就是HTTP的安全版。 HTTP直接和TCP通信但是HTTPS是HTTP先和SSL协议通信然后SSL协议再和TCP通信。
3.1 HTTP和HTTPS的区别
HTTPS协议需要到CA申请证书一般免费证书很少需要年费HTTP是超文本传输协议信息是明文传输HTTPS则是具有安全性的SSL加密传输协议HTTP和HTTPS使用的是完全不同的连接方式用的端口也不一样HTTP用80端口HTTPS用443端口HTTP的连接很简单是无状态的HTTPS协议是由SSLHTTP协议构建的可进行加密传输、身份认证的网络协议比HTTP协议安全。
3.2 SSL协议组成
记录协议Record Protocol握手协议Handshake Protocol警告协议Alert Protocol密码规范改变协议 SSL协议主要分为两层其中底层是SSL记录协议层高层是SSL握手协议层。最重要的是记录协议和握手协议。 SSL记录协议层的作用是为高层协议提供基本的安全服务。SSL记录协议针对HTTP协议进行了特别的设计使得超文本的传输协议HTTP能够在SSL运动。记录封装各种高层协议具体实施压缩、解压缩、加密、解密、计算和校验MAC等与安全有关的操作。 SSL握手协议层的这些协议用于管理信息的交换允许应用协议传送数据之间相互验证协商加密算法和生成密钥等。SSL握手协议的作用是协调客户与服务器的状态使双方能够达到状态的同步。
HTTP协议三次握手 HTTPS通信过程
