基于Web會(huì)話管理漏洞檢測(cè)技術(shù)的研究

謝品章 曾德生 龐雙龍

摘要：WEB會(huì)話管理涵蓋了從登錄到離開(kāi)WEB應(yīng)用程序的所有用戶控制，在提高應(yīng)用的易用性和友好性方面發(fā)揮了重要作用，同時(shí)也增加了在無(wú)須提供正確憑證就能非法訪問(wèn)WEB應(yīng)用程序的風(fēng)險(xiǎn)。本文首先對(duì)WEB會(huì)話管理漏洞進(jìn)行詳細(xì)分析，針對(duì)不同類型的WEB會(huì)話管理漏洞設(shè)計(jì)相對(duì)應(yīng)的檢測(cè)方法，并在此基礎(chǔ)上提出WEB會(huì)話管理漏洞的防范措施。

關(guān)鍵詞：Web安全;會(huì)話管理;漏洞檢測(cè);防范措施

0引言

HTTP是一種無(wú)狀態(tài)協(xié)議。WEB服務(wù)器并不需要關(guān)聯(lián)客戶端請(qǐng)求就會(huì)做出響應(yīng)。為了避免不斷地認(rèn)證網(wǎng)站或者服務(wù)的每一個(gè)頁(yè)面。WEB應(yīng)用程序通常采用某種會(huì)話管理機(jī)制將多個(gè)客戶端請(qǐng)求關(guān)聯(lián)起來(lái)組成一個(gè)“會(huì)話”，每個(gè)會(huì)話使用一個(gè)會(huì)話標(biāo)識(shí)符或者Cookie來(lái)標(biāo)識(shí)。通過(guò)在預(yù)先確定的時(shí)間范圍內(nèi)存儲(chǔ)和驗(yàn)證其會(huì)話憑證，實(shí)現(xiàn)對(duì)網(wǎng)站用戶交互方式的控制，會(huì)話管理涵蓋了從登錄到離開(kāi)WEB應(yīng)用程序的所有用戶控制，在提高應(yīng)用的易用性和用戶的友好性方面發(fā)揮了重要作用，同時(shí)也增加了在無(wú)須提供正確憑證的情況下進(jìn)入用戶賬號(hào)。非法訪問(wèn)WEB應(yīng)用程序的安全風(fēng)險(xiǎn)。

大多數(shù)的WEB應(yīng)用程序都是通過(guò)Cookie來(lái)關(guān)聯(lián)一個(gè)會(huì)話中的多個(gè)請(qǐng)求，RFC6265文檔對(duì)這一方法給出了詳細(xì)的說(shuō)明。一個(gè)典型的應(yīng)用例子就是在線購(gòu)物車，整個(gè)用戶會(huì)話期間，WEB應(yīng)用程序必須跟蹤用戶身份、個(gè)人信息以及選擇購(gòu)買(mǎi)的產(chǎn)品、數(shù)量、單價(jià)、折扣等信息，這些信息存儲(chǔ)在Cookie中。WEB應(yīng)用程序在HTTP應(yīng)答中使用SET-COOKIE指令來(lái)創(chuàng)建相關(guān)的Cookie。當(dāng)WEB應(yīng)用程序指示客戶端瀏覽器使用某個(gè)Cookie后，瀏覽器就會(huì)在以后的每個(gè)請(qǐng)求中發(fā)送該Cookie。由于Cookie中的數(shù)據(jù)非常重要，如果會(huì)話管理存在漏洞，則可能導(dǎo)致用戶會(huì)話被劫持。利用當(dāng)前活動(dòng)會(huì)話非法進(jìn)入用戶賬號(hào)，獲得訪問(wèn)WEB應(yīng)用程序的權(quán)限，在未經(jīng)授權(quán)的情況下實(shí)施非法操作。

會(huì)話管理漏洞在2010年的OWASP TOP 10中排名第三，而在2013年的OWASP TOP 10中排名第二，說(shuō)明會(huì)話管理攻擊事件在不斷增加，安全風(fēng)險(xiǎn)在上升。本文對(duì)WEB會(huì)話管理漏洞進(jìn)行了詳細(xì)分析，然后提出WEB會(huì)話管理漏洞的檢測(cè)方法，最后針對(duì)該漏洞提出一些防范措施。

1 Web會(huì)話管理漏洞分析

會(huì)話管理漏洞主要是由于WEB應(yīng)用程序的會(huì)話管理缺陷。Cookie屬性設(shè)置不當(dāng)?shù)仍蛟斐傻?。例如?/p>

（1）WEB應(yīng)用程序或客戶端使用非加密信道傳送Cookie，攻擊者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)，非法獲取Cookie，導(dǎo)致Cookie內(nèi)容泄露或者被篡改。

（2）WEB應(yīng)用程序的會(huì)話ID生成算法缺乏足夠的隨機(jī)性，攻擊者通過(guò)逆向分析，偽造一個(gè)有效的Cookie，實(shí)施未授權(quán)的非法訪問(wèn)。

（3）WEB應(yīng)用程序在會(huì)話中使用了固定的會(huì)話ID，攻擊者通過(guò)會(huì)話劫持攻擊，假冒合法用戶繞過(guò)WEB應(yīng)用程序的身份認(rèn)證機(jī)制，非法進(jìn)入該用戶賬戶。

（4）Cookie屬性設(shè)置不當(dāng)，導(dǎo)致Cookie屬性設(shè)置漏洞，為攻擊者提高了攻擊Cookie的機(jī)會(huì)。

（5）WEB應(yīng)用程序提供了不安全的請(qǐng)求方法，允許客戶端使用GET請(qǐng)求來(lái)傳送Cookie。與POST請(qǐng)求的方法相比，GET請(qǐng)求方法容易被操控，引發(fā)安全風(fēng)險(xiǎn)。

會(huì)話管理的攻擊方法主要有Cookie篡改、Cookie溢出、會(huì)話劫持、跨站請(qǐng)求偽造等。

1.1 COOKIE篡改攻擊

Cookie篡改攻擊一般采用如下步驟：

（1）Cookie收集。收集足夠數(shù)量的COOKIE樣本。

（2）Cookie逆向分析。分析會(huì)話ID生成算法。

（3）Cookie偽造。當(dāng)加密的Cookie被第三方獲取，并通過(guò)密文分析、暴力破解等方式獲取了相應(yīng)的加密密鑰，第三方就可以偽造Cookie，獲得訪問(wèn)WEB應(yīng)用程序的權(quán)限，實(shí)施非法操作。

攻擊者一旦從Cookie中得到足夠多的用戶信息，就能夠?qū)ookie內(nèi)容進(jìn)行篡改。例如：移動(dòng)電信運(yùn)營(yíng)商用戶通過(guò)互聯(lián)網(wǎng)發(fā)送彩信消息，在身份認(rèn)證過(guò)程結(jié)束后，在Cookie中包含了發(fā)件人的電話號(hào)碼，這個(gè)Cookie是服務(wù)收費(fèi)程序用來(lái)識(shí)別用戶的。如果攻擊者得到電話號(hào)碼以明文方式存儲(chǔ)的，并且沒(méi)有任何保護(hù)，則可以將Cookie中的電話號(hào)碼改成攻擊者的電話號(hào)碼，那么被攻擊者將會(huì)為攻擊者支付彩信的費(fèi)用。

1.2COOKIE欺騙攻擊

由于在Cookie中存在用戶的敏感信息，所以開(kāi)發(fā)者往往采用MD5對(duì)Cookie內(nèi)容進(jìn)行加密處理，即使攻擊者獲得了Cookie也很難破解其中的內(nèi)容。但在某種情況下。攻擊者并不需要知道Cookie的明文內(nèi)容，就可以采用Cookie欺騙的方式進(jìn)行攻擊，將截獲的Cookie提交給服務(wù)器，從而假冒他人的身份登錄到網(wǎng)站。

實(shí)施Cookie欺騙攻擊的前提條件是服務(wù)器的驗(yàn)證程序存在漏洞，并且攻擊者能夠獲得被假冒者的Cookie信息。網(wǎng)站的驗(yàn)證程序要驗(yàn)證所有的非法登錄是非常困難的，并且編寫(xiě)驗(yàn)證程序的語(yǔ)言也可能存在漏洞。獲得他人的Cookie信息比較容易，下面是利用PHP腳本語(yǔ)言編寫(xiě)的用于收集Cookie的程序代碼：

攻擊者把以上代碼放到論壇里，并附上讓人感興趣的話題。吸引大家點(diǎn)擊瀏覽，這樣就可以收集到大量的Cookie，攻擊者利用這些信息嘗試提交給服務(wù)器驗(yàn)證。如果服務(wù)器驗(yàn)證成功。就可以成功登錄到該網(wǎng)站。

1.3 會(huì)話固定漏洞攻擊

會(huì)話固定（Session Fixation）漏洞是指WEB應(yīng)用程序沒(méi)有廢止當(dāng)前會(huì)話ID，而是繼續(xù)使用同一個(gè)會(huì)話ID來(lái)認(rèn)證其它用戶身份，導(dǎo)致會(huì)話劫持攻擊。攻擊者在WEB應(yīng)用程序上創(chuàng)建一個(gè)新的會(huì)話并記錄相關(guān)的會(huì)話ID，當(dāng)一個(gè)用戶使用同一個(gè)會(huì)話ID通過(guò)了WEB應(yīng)用程序的身份認(rèn)證后。攻擊者就有可能利用當(dāng)前的活動(dòng)會(huì)話進(jìn)入該用戶賬戶，假冒該用戶非法訪問(wèn)WEB應(yīng)用程序。

1.4 URL重寫(xiě)

WEB應(yīng)用程序支持URL重寫(xiě)，將用戶的會(huì)話ID直接放在URL中返回給用戶。如果用戶不小心泄露了該URL，則會(huì)導(dǎo)致會(huì)話ID泄露和被惡意利用。

例如。一個(gè)網(wǎng)站的機(jī)票預(yù)訂程序支持URL重寫(xiě)，將用戶的會(huì)話ID直接放在URL中返回給用戶，即：

http：//www.xxxx.com/ex：Isessionid：2POc2JDXMDOOSQXIEMDPSSDNXSHCJKJVMSL？dest=huawei

該網(wǎng)站一個(gè)用戶通過(guò)認(rèn)證，該用戶想通知朋友知道機(jī)票打折信息，于是將這個(gè)鏈接發(fā)給朋友，但該用戶并不知道已經(jīng)泄露了自己的會(huì)話ID。當(dāng)該用戶的朋友點(diǎn)擊該鏈接時(shí)，將會(huì)使用該用戶的會(huì)話登錄這個(gè)網(wǎng)站，并可以惡意消費(fèi)該用戶的信用卡。

1.5 CSRF攻擊

跨站請(qǐng)求偽造（CSRF）是一種惡意利用網(wǎng)站的攻擊方式。從字面來(lái)看，跨站請(qǐng)求偽造與跨站腳本有些相似，然而二者是兩種不同的攻擊方式。XSS攻擊的對(duì)象是網(wǎng)站用戶。而CSRF攻擊的對(duì)象則是網(wǎng)站或者WEB應(yīng)用程序。與XSS攻擊相比，CSRF攻擊更難防范，比XSS攻擊更具危險(xiǎn)性。

CSRF攻擊主要通過(guò)在用戶訪問(wèn)的頁(yè)面包含惡意鏈接或者腳本的方式來(lái)實(shí)施。假設(shè)一個(gè)用戶使用GET請(qǐng)求來(lái)訪問(wèn)一個(gè)網(wǎng)站，如果該用戶通過(guò)了網(wǎng)站W(wǎng)EB應(yīng)用程序身份驗(yàn)證，則下次提交的GET請(qǐng)求可以由如下的用戶來(lái)產(chǎn)生。

（1）由實(shí)際使用WEB應(yīng)用程序的用戶來(lái)產(chǎn)生。

（2）由直接在瀏覽器輸入U(xiǎn)RL的用戶來(lái)產(chǎn)生。

（3）由使用外部鏈接訪問(wèn)網(wǎng)站的用戶來(lái)產(chǎn)生。

由于WEB應(yīng)用程序無(wú)法判斷由誰(shuí)產(chǎn)生的GET請(qǐng)求，因此攻擊者可以利用這一特征來(lái)實(shí)施跨站請(qǐng)求偽造攻擊。攻擊者首先將一個(gè)執(zhí)行惡意操作的外部鏈接通過(guò)嵌入在一個(gè)電子郵件、圖片、或者網(wǎng)站等形式發(fā)布出來(lái)，引誘用戶點(diǎn)擊。如果一個(gè)通過(guò)了WEB身份驗(yàn)證的用戶點(diǎn)擊了該鏈接。則瀏覽器就會(huì)向WEB應(yīng)用程序發(fā)出包含該用戶Cookie的GET請(qǐng)求，由于該用戶的Cookie是有效的，因此WEB就會(huì)執(zhí)行該外部鏈接所規(guī)定的操作，導(dǎo)致跨站請(qǐng)求偽造攻擊。

1.6 隱私信息泄露

跨站Cookie和超級(jí)Cookie的存在，可能導(dǎo)致用戶隱私信息泄露。

1.6.1 跨站Cookie

由于Cookie的敏感性，使Cookie具有專屬性質(zhì)，即A網(wǎng)站存在Cookie中的信息，B網(wǎng)站是沒(méi)有權(quán)限直接獲取的。然而，一些第三方廣告聯(lián)盟的代碼使用范圍非常廣，這就可能通過(guò)第三方廣告代碼形成跨站Cookie。例如，A網(wǎng)站和B網(wǎng)站都使用了同一家第三方廣告代碼，如果用戶首先在A網(wǎng)站搜索了一個(gè)“心臟病”關(guān)鍵詞，然后再去訪問(wèn)B網(wǎng)站，第三方廣告代碼就可以從Cookie中獲取到用戶在A網(wǎng)站的搜索行為。在用戶瀏覽器上就會(huì)即刻出現(xiàn)治療心臟病的廣告信息，雖然實(shí)現(xiàn)了精準(zhǔn)投放廣告，但是未經(jīng)用戶同意，對(duì)用戶的隱私構(gòu)成了侵犯，造成用戶隱私信息泄露。

1.6.2 超級(jí)Cookie

超級(jí)Cookie存在于某些瀏覽器中，如Mozilla、谷歌Chrome、蘋(píng)果IOS瀏覽器等，能夠在瀏覽器隱私模式下執(zhí)行普通會(huì)話，導(dǎo)致瀏覽器隱私模式的失效。IE瀏覽器不存在這種問(wèn)題，因?yàn)镮E瀏覽器內(nèi)部并沒(méi)有提供對(duì)特殊操作的記憶功能。例如，用戶在瀏覽器地址欄使用前綴https：//，對(duì)某個(gè)網(wǎng)站的通信進(jìn)行加密保護(hù)。一些瀏覽器對(duì)此進(jìn)行記憶，保存一個(gè)“超級(jí)Cookie”，當(dāng)用戶下次訪問(wèn)該網(wǎng)站時(shí)，瀏覽器會(huì)自動(dòng)進(jìn)入HTTPS通道，即使用戶在瀏覽器設(shè)置了隱私模式，禁用了Cookie，但是這個(gè)超級(jí)Cookie依然存在。

2 Web會(huì)話管理漏洞檢測(cè)

會(huì)話管理漏洞主要是由于WEB應(yīng)用程序的會(huì)話管理缺陷和Cookie屬性設(shè)置不當(dāng)?shù)仍蛟斐傻?，通常采用?dòng)態(tài)檢測(cè)技術(shù)來(lái)檢測(cè)會(huì)話管理漏洞。檢測(cè)系統(tǒng)由兩部分組成：檢測(cè)主機(jī)和被檢測(cè)網(wǎng)站。兩者之間通過(guò)網(wǎng)絡(luò)連接起來(lái)，在檢測(cè)主機(jī)運(yùn)行檢測(cè)程序，對(duì)被測(cè)網(wǎng)站進(jìn)行測(cè)試：在被測(cè)網(wǎng)站上運(yùn)行WEB服務(wù)器及應(yīng)用程序，圖1是會(huì)話管理漏洞檢測(cè)系統(tǒng)模型。

動(dòng)態(tài)檢測(cè)方法的一般步驟如下：

（1）Cookie獲取。根據(jù)測(cè)試項(xiàng)目，檢測(cè)主機(jī)采用GET或者POS了請(qǐng)求方法向被測(cè)網(wǎng)站發(fā)出HTTP請(qǐng)求包。

（2）Cookie分析。對(duì)被測(cè)網(wǎng)站返回的Cookie信息進(jìn)行分析，確定是否存在相應(yīng)的漏洞，給出檢測(cè)結(jié)果。

2.1 COOKIE屬性設(shè)置漏洞檢測(cè)

分析被測(cè)網(wǎng)站返回的Cookie，對(duì)Cookie屬性設(shè)置進(jìn)行逐項(xiàng)檢測(cè)，檢查是否存在Cookie屬性設(shè)置漏洞，即：

（1）Seetlre屬性。檢查是否使用安全方式來(lái)傳送含有敏感信息或會(huì)話ID的Cookie。例如，當(dāng)?shù)卿沇EB應(yīng)用程序后，應(yīng)用程序在Cookie中設(shè)置了會(huì)話ID。檢測(cè)是否設(shè)置了secure屬性，如果沒(méi)有設(shè)置，則存在Cookie信息泄露風(fēng)險(xiǎn)。

（2）HTTP OnlY屬性。檢查是否設(shè)置了HTTPOnly屬性，如果沒(méi)有設(shè)置，則存在客戶端腳本利用該Cookie進(jìn)行攻擊的風(fēng)險(xiǎn)。

（3）Domain屬性。檢查Domain設(shè)置情況，應(yīng)該將其設(shè)置為需要接收該Cookie的服務(wù)器。例如，如果WEB應(yīng)用程序存儲(chǔ)在app.myweb.con服務(wù)器上，則應(yīng)該設(shè)置成“Domain=app.myweb.con”，而不能設(shè)置成“”，因?yàn)檫@種設(shè)置允許其它存在漏洞的服務(wù)器接收到Cookie。

（4）Path屬性。檢查PATH屬性，如果PATH是設(shè)置在根目錄“/”下，則同樣允許其它存在漏洞的WEB應(yīng)用程序接收該Cookie。例如，如果WEB應(yīng)用程序存儲(chǔ)在“/myapp/”目錄，則Cookie路徑應(yīng)設(shè)置為“path=/myapp/”，而不能設(shè)置為“path=/”或“path=/myapp”。

（5）Expires屬性。檢查Expires屬性情況，如果該屬性設(shè)置成一個(gè)未來(lái)的截止日期，則需要確認(rèn)該Cookie不包含任何敏感信息，否則有權(quán)讀取這個(gè)Cookie的用戶就有可能在截止日期前通過(guò)重復(fù)提交這個(gè)Cookie進(jìn)入WEB應(yīng)用程序。

2.2 會(huì)話固定漏洞檢測(cè)

會(huì)話固定漏洞檢測(cè)方法如下：

（1）向被測(cè)試網(wǎng)站（例如：www.xxxx.con）發(fā)送get請(qǐng)求：

GET www.xxxx.com

（2）被測(cè)試網(wǎng)站響應(yīng)如下信息：

從網(wǎng)站服務(wù)器響應(yīng)的信息可知，WEB應(yīng)用程序?yàn)榭蛻艚⒘艘粋€(gè)新的會(huì)話ID：JSESSIONID=CD7F8599FDD1BB09FDB2F9DFF3276EA2.jvm_0.

（3）利用POST方法向WEB服務(wù)器提交身份認(rèn)證請(qǐng)求：

利用POST方法提交身份認(rèn)證成功之后，從WEB響應(yīng)的信息可知，WEB服務(wù)器并沒(méi)有重新產(chǎn)生新的會(huì)話ID，因此，存在會(huì)話固定漏洞。攻擊者利用這種漏洞就可以實(shí)施會(huì)話劫持攻擊。假冒該用戶進(jìn)行各種非法操作。

2.3 CSRF漏洞檢測(cè)

CSRF漏洞檢測(cè)方案如下：

（1）使用U代表被測(cè)URL，例如，U=http=www.mytest.com/action.

（2）建立一個(gè)包含URL的HTTP請(qǐng)求的HTML頁(yè)面，并列出所有相關(guān)參數(shù)。如果使用GET請(qǐng)求方法，則可以直接完成，如果使用POST請(qǐng)求方法，則需要通過(guò)JavaScfpt腳本來(lái)完成。

（3）確保有效的用戶能夠登陸到WEB應(yīng)用程序。

（4）模擬用戶點(diǎn)擊到一個(gè)指向被測(cè)網(wǎng)站的鏈接。

（5）檢查被測(cè)網(wǎng)站是否執(zhí)行了所指定的操作。

2.4 請(qǐng)求方法弱點(diǎn)檢測(cè)

由于GET請(qǐng)求方法容易被操控，存在安全弱點(diǎn)，因此在傳輸Cookie時(shí)，最好使用POST請(qǐng)求。雖然POST請(qǐng)求可以通過(guò)JavaScript腳本等手段來(lái)模擬，但是增加了攻擊的難度。

請(qǐng)求方法弱點(diǎn)檢測(cè)是對(duì)使用POST請(qǐng)求方法傳送數(shù)據(jù)的WEB程序進(jìn)行檢測(cè)，檢查WEB應(yīng)用程序是否接受通過(guò)GET請(qǐng)求方法傳送的數(shù)據(jù)。

例如：一個(gè)WEB登陸產(chǎn)生如下的POST請(qǐng)求：

根據(jù)以上POST請(qǐng)求信息，經(jīng)過(guò)修改后采用GET方法提交請(qǐng)求，直接在瀏覽器地址欄輸入如下內(nèi)容：

http：//www.xxxx.com/denglu.php？name=xiaoli&password=xiel23456&SessionID=987654321

如果能夠成功登陸，說(shuō)明該WEB程序存在安全漏洞，容易被攻擊者利用。

3 Web會(huì)話管理漏洞防范

由于WEB應(yīng)用程序的會(huì)話管理缺陷，以及Cookie屬性設(shè)置不當(dāng)?shù)仍驅(qū)е庐a(chǎn)生會(huì)話漏洞。因此需要從正確使用會(huì)話管理功能，合理設(shè)置Cookie屬性等方面提高會(huì)話管理的安全性，防止攻擊者利用會(huì)話管理漏洞實(shí)施攻擊?？梢圆捎萌缦路婪洞胧?/p>

（1）Web應(yīng)用程序和客戶端應(yīng)避免使用非加密信道傳送Cookie，防止攻擊者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)來(lái)獲取Cookie，導(dǎo)致Cookie內(nèi)容泄露。

（2）應(yīng)避免使用缺乏足夠隨機(jī)性的會(huì)話ID生成算法，防止攻擊者通過(guò)逆向分析來(lái)偽造Cookie。

（3）避免使用固定的會(huì)話，防止攻擊者利用固定會(huì)話漏洞實(shí)施會(huì)話劫持攻擊。

（4）正確設(shè)置Cookie屬性對(duì)Cookie進(jìn)行保護(hù)，防止攻擊者利用Cookie屬性設(shè)置漏洞實(shí)施Cookie攻擊。

（5）避免使用GET請(qǐng)求方法來(lái)傳送Cookie，防止攻擊者利用GET請(qǐng)求來(lái)實(shí)施攻擊。

（6）避免使用持久性Cookie，盡量使用一次性Cookie，使Cookie只在當(dāng)前活動(dòng)會(huì)話中有效，并設(shè)置合理的Cookie有效期，瀏覽器應(yīng)當(dāng)及時(shí)刪除過(guò)期的Cookie。

（7）不要在URL錯(cuò)誤信息或者日志中暴露會(huì)話ID，會(huì)話ID應(yīng)當(dāng)只出現(xiàn)在HTTP Cookie頭信息中，不要以GET參數(shù)來(lái)傳遞會(huì)話ID。

（8）通過(guò)在每個(gè)請(qǐng)求或者每個(gè)會(huì)話中使用強(qiáng)制隨機(jī)令牌或者參數(shù)，為敏感或者關(guān)鍵的操作提供標(biāo)準(zhǔn)的會(huì)話管理。

（9）在身份認(rèn)證時(shí)，如果連接從HTTP變?yōu)镠TTPS，則應(yīng)當(dāng)生成一個(gè)新的會(huì)話ID。在WEB應(yīng)用程序中，推薦持續(xù)使用HTTPS而并非在HTTP和HTTPS之間切換使用。

（10）禁止連續(xù)的登錄并強(qiáng)制執(zhí)行周期性的會(huì)話終止。即使是活動(dòng)的會(huì)話，特別是對(duì)于支持網(wǎng)絡(luò)連接或者連接到關(guān)鍵系統(tǒng)的WEB應(yīng)用程序。終止時(shí)間應(yīng)當(dāng)根據(jù)業(yè)務(wù)需求做適當(dāng)?shù)恼{(diào)整。

（11）將Cookie設(shè)置為HTTP only屬性。除非在WEB應(yīng)用程序中明確要求客戶端腳本程序讀取或者設(shè)置Cookie的值。

4 結(jié)束語(yǔ)

本文介紹了WEB會(huì)話在實(shí)際應(yīng)用中的作用。詳細(xì)分析了會(huì)話管理漏洞產(chǎn)生的原因以及利用會(huì)話漏洞實(shí)施攻擊的各種手段：提出了由于不同原因造成的會(huì)話漏洞的檢測(cè)方法：最后給出一些防范WEB會(huì)話管理漏洞的建議。通過(guò)以上的分析與研究，為下一步對(duì)WEB安全的學(xué)習(xí)打下基礎(chǔ)，指明方向。