[Computer and Network Security] HTTP and Session Management

TOP 10 Web Attacks

1.Injection

2.Cross-Site Scripting

3.Broken Authentication and Session Management

4.Insecure Direct Object References

5.Cross-Site Request Forgery

6.Security Misconfiguration

7.Insecure Cryptographic Storage

8.Failure to Restrict URL Access

9.Insufficient Transport Layer Protection

10.Unvalidated Redirects and Forwards

一、HTTP基础

同源策略：

SOP防止来自一个源的documents和脚本去获得或设置来自另一个源的document，origin=protocol://host:port

例子：
http://store.company.com/dir2/other.html http://store.company.com/dir/inner/another.html 同源
https://store.company.com/secure.html 不同源，协议不同
http://store.company.com:81/dir/etc.html 不同源，端口不同
http://news.company.com/dir/other.html 不同源，主机不同

HTTP的状态：

HTTP本身是无状态的：HTTP消息在交换的过程中不存储HTTP请求的任何状态，服务器仅仅是简单地以HTTP请求为根据返回HTP响应。

会话管理：允许以web为基础的系统去创建会话，以便当用户想要做某个动作时，不必再重新认证，简单地讲就是保持状态，三种方法：GET,POST,cookies

GET：将状态信息编码进查询串，http://somesite.com/admin.php?sessionID=12345678

POST：通过表单向页面传递数据，例如，可以包含一个名叫sessionID的隐藏域来表明一个独特的会话

Cookies：cookies就是HTTP状态的令牌(或者叫记号，token)，token的形式是name=value。

持久型cookies：存在于浏览器的本地硬盘中(又称cookie jar)，有一个过期日期指定这个cookie能保存多久。

会话cookies：存在于内存中，当浏览器关闭时它就过期了。

用户与服务器交互

1.服务器在响应消息中把"cookie"发送给客户端 Set-cookie:sid=12345678

2.客户端在后来的请求中展示cookie，cookie:sid=12345678

3.服务器将传送来的cookie与服务器端保存的信息做匹配，例如，用于认证，或者记住用户的喜好，以及优先选项。

cookies的安全问题

HTTP的信息是明文传送，因此cookies也是。

机密性：攻击者能够读取到会话的状态。

完整性：攻击者可以改变会话状态。

重放：攻击者可以重放cookies(例如，认证凭据)。

二、HTTPS

HTTPS(HTTP with TLS)加密所有的东西，包括cookies，HTTP头部，以及HTTP消息内容。

HTTPS的特征：服务器验证(Server authentication)，完整性保护(Integrity protection)，机密性保护(Confidentiality protection)，有选择性的客户端验证(Optional Client authentication)

使用https://代替http://，使用端口443代替端口80

SSL/TLS

HTTPS是建立在SSL上，SSL(安全套接层;Secure Socket Layer)提供了一种传输层的安全服务，现在是版本3。SSL后来作为TLS(Transport Layer Security,传输层安全)而成为因特网标准，使用TCP来提供一个可靠的点对点服务。SSL由两层组成。

总结：

HTTP的会话管理将状态信息包括进了无状态的HTTP中，Cookies是主要的状态信息组件，需要被合理地保护。