這一部份內容的重中之重是session和cookie,客戶在安全使用app系統時,如何根據客戶的身份提供不一樣的功能和相關數據,每一個人都有這樣的體驗。例如,訪問淘寶,不會把本身喜歡的商品加入別人的購物車,如何區分不一樣的客戶?打開任何網站,抓住包看,cookie的字段都存在。cookie伴隨着客戶的操做自動提交給服務器方面,想區分認證前和認證後來到客戶方面,用戶認證成功後能夠在cookie上寫上標誌,服務器在處理請求時判斷該標誌便可。程序員
對於標誌的設置,若是直接將客戶稱直接以明確或加密的方式放置在cookie中,若是加密方式被破解,則可能僞造客戶的身份,所以在cookie中直接插入客戶的身份信息是不可取的。對於客戶身份的設置,還有session機制,在用戶認證成功後,將客戶的我的信息和身份信息寫入session,在cookie中的表現只出現sessionID,服務器方面經過該sessionID在服務器上找到指定的數據,敏感的數據存在於服務器方面,sessionID的值是隨機字符串,攻擊者很難推測其餘用戶的sessionID,從而僞造客戶的身份。當咱們安全使用xss漏洞時,咱們都喜歡得到客戶的cookie。得到cookie後,最重要的字段是sessionID。有了他,咱們能夠僞造他人的身份並得到他人的數據。安全
根據會話內容,能夠完成如下操做:服務器
做業1:經過搜索引擎,尋找能夠註冊的幾個網站,burp抓住包分析註冊後的對話是如何實現的,是否用session保存用戶信息,token是否能夠僞造,是否在cookie保留用戶信息等。做業2:基於之前的做業,開發的登陸認證頁面,認證成功後,對不一樣的帳戶設定不一樣的權限,分別用cookie和session來顯示客戶的身份,測試不一樣的顯示方式可能存在的安全風險。記錄測試過程和結果、相關代碼和設計構想造成報告,共享,共同探討。cookie
目前對於網站和APP安全漏洞上對於獲取SESSION和COOKIES的問題比較多,不少程序員對一些提交功能沒有作更多的過濾,致使被插入了惡意XSS代碼從而獲取到了後臺權限,若是你們想要更全面的檢測安全漏洞問題的話能夠像國內的網站安全公司尋求人工滲透測試服務的幫助。session