paip.提升安全性--CRSF跨站请求伪造的检测与防范
2012-09-23 00:20
267 查看
paip.提升安全性--CRSF跨站请求伪造的检测与防范
作者Attilax , 1466519819@qq.com
在用户的重要活动中,要防止CRSF攻击。。
比如修改密码时
转账时
删除资料时
修改资料时
有以下几种方法可以防范。。
1.比如在转账时,要求用户输入交易密码..
2..操作时使用验证码,用户体验不好。。
3.显示确认页面。
4.修改密码时,显示当前用户名,并要求用户输入原密码进行验证..
5.使用自动标识验证,强烈推荐这个方式...
也就是说在请求的时,需要发送一个标识符进行签名认证..这个标识符在每个URL和窗体都不同。。。一次性使用..攻击者无法伪造..要确定同样的操作每个用户的标识是不同的..
生成方法:
sign=hash(username+key+param)..
这样用户就无法伪造SIGN。此外可以使用动态KEY。。这样更安全,有效时间可设定在两小时左右。。过期作废...
作者Attilax , 1466519819@qq.com
在用户的重要活动中,要防止CRSF攻击。。
比如修改密码时
转账时
删除资料时
修改资料时
有以下几种方法可以防范。。
1.比如在转账时,要求用户输入交易密码..
2..操作时使用验证码,用户体验不好。。
3.显示确认页面。
4.修改密码时,显示当前用户名,并要求用户输入原密码进行验证..
5.使用自动标识验证,强烈推荐这个方式...
也就是说在请求的时,需要发送一个标识符进行签名认证..这个标识符在每个URL和窗体都不同。。。一次性使用..攻击者无法伪造..要确定同样的操作每个用户的标识是不同的..
生成方法:
sign=hash(username+key+param)..
这样用户就无法伪造SIGN。此外可以使用动态KEY。。这样更安全,有效时间可设定在两小时左右。。过期作废...
相关文章推荐
- paip.提升安全性---WEB程序安全检测与防范
- paip.提升安全性-------用户口令密码的检测与生成
- paip.提升用户体验与安全性----cookie盗用检测
- paip.提升安全性---登录密码出错次数检测
- paip.提升安全性--360,WI,AWVS三款WEB程序安全检测软件使用总结
- paip.提升安全性-----动态KEY
- paip.提升安全性--------密码控件与软键盘
- paip.提升用户体验与安全性----登录与权限流程总结
- paip.提升安全性----用户资金账户模块平账功能
- PAIP.提升安全性----COOKIE绑定IP与城市与运营商
- paip.提升安全性----我们需要多长的密码
- paip.提升安全性---防止敏感文件被下载
- paip.提升用户体验与安全性---注册流程总结
- paip.提升安全性----软键盘的弱点
- paip.提升安全性------本机硬件绑定
- paip.提升安全性-------生成一个安全的验证码
- paip.提升用户体验与提升安全性----记住密码
- paip.提升安全性------登录地区变换后进行验证
- paip.提升ASP编程安全性之脚本部件
- paip.提升安全性--------用户密码控件方案总结