贡献榜 众测 知识 关于 登录
当前位置:WooYun(白帽子技术社区) >> xss >> 当cookie被x 之后如何保证帐号安全?
首先想到的就是ip 但是CEO CTO XXO 不同意说用户体验不好!然后想到的是浏览器头信息。但是尼玛要是那天不小心升级了浏览器。记住登录就over了 也要影响体验。大家集思广益 看看还有撒好方法。在不影响用户体验的前提下 解决xss的问题!
httponly?不过有ajax的话,用起来会超级不方便。有个奇怪的想法就是判断登陆地区,比如说跨省就算被X,然后在用户cookies上面写个比如说token的东西,然后服务端去综合校验,如果发现跨省,就当成被X了,然后报废用户当前的token
唯一不可伪造的只有IP地址。参考 http://wdot.cc/Defense/92.html或者判断常登陆的所在地,比如说xx市,减少被x的几率。
@abcdlzy 说的不错。目前对于类似问题,基本都是如果发现跨地区了,就要求重新登录。微博等容易爆发xss的地方,都是这么做的。判断ip不太赞同,毕竟现在有移动客户端,ip之类很容易变。
@GaRY 这个方法比较折中。暂时使用此方法进行处理。刚好我们所有用户登录都有保留经纬度。判断10公里范围。应该基本无大碍。
@abcdlzy token 也是可以被x 拿到的
用网卡MAC生成唯一的机器码怎么样?http://blog.163.com/mengqing_dao/blog/static/1335205132012122378633/
@VIP web程序拿不都mac。。。别给杂文带坏了。
@abcdlzy 和httponly不冲突吧
http-only 算是个基础防护吧,起码对方需要自己写代码来进行某些操作,而不是直接被劫持到。
@abcdlzy 要是挂个代理、vpn什么的自己不也被封了
@xsser 在弄asmx的时候,搞死传输不了httponly的cookies过去,应该是技术不够吧,反正各种搜索引擎都用了个遍,没找到解决方案,所以产生了点阴影。。@lxsec 普通用户一般不挂代理的吧?@齐迹 这个考虑到了,想了下,还真不科学
一看楼主就没实践过,什么“用户体验不好”,这种问题压根不会存在! 谁叫你永久记录了……记录【本次登录】信息即可……最简单的:session("ceo") = ip或 session("ceo") = ip + user_agent或更复杂的……由于记录的是本次登录信息,所以对用户来说,完全无影响……但对攻击者来说,蛋裂……什么ip变更、浏览器升级,完全不存在这些问题,除非你登陆中换ip、浏览器,这占极少数……但仍然无法防御js模拟操作(不使用cookie)……
以上方法,本人已使用很久,从没出现过什么用户体验问题。唯一碰到的情况是,宽带掉线,重登陆ip变更,导致cookie失效,重登陆即可。但这种情况,极少见,所以可以忽略。
@核攻击 好吧 你赢了。你觉得你的方法第二天来还保持登录状态吗?
@齐迹 如果站点,需要保持登录状态的话,比较难实现。我是使用的一次性登录。
我以为楼主是需要一次性登录之类的,如果是微博之类需要保持登录状态的话,没法绑定IP。
@齐迹 如果是后台的话可以考虑 自己写插件 控制行为
最简单的处理就是 没有“插件”后台根本打不开
如果是前端 多次确认+第三方确认(PS:参考下Google两步登陆)关键操作“需要密码”
@齐迹 同源策略
网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地
登录