보안 세션

Question

나는 이런 식으로 전통적으로 그렇게 사용되지는 않는다는 것을 알고있다. 그러나 나는 웹 애플리케이션 보안에 대해 배우고 있으며, 이것이 좋을 것이라고 생각하고 SO 전문가로부터 이것에 대해 어떻게 생각하는지 듣고 자한다. 기사 (나는 그것을 지금 읽고있다, 그것은 세션 보안에있다).

http://carsonified.com/blog/dev/how-to-create-bulletproof-sessions/

은 어쩌면 우리는 어떤 종류의 토론을 저자가/허위 잊고 더 나은 관행이 무엇인지가 무엇인지 지적 할 수 있습니까?

예를 들어, SQL 인젝션과 같은 다른 보안 주제에 관해서는 많은 사람들이 mysql_real_escape_strings과 같은 것을 권장하지만 전문가는 준비된 문장을 능가하는 것이 아무것도 없다고 말합니다. 의견에서이 기사에는 문제가있는 것 같아서 그의 콘텐츠가 얼마나 좋은지 나쁜지 궁금합니다.

Answer 1

나는이 기사가 단지 기본 개념 일 뿐이며 심각한 보안 인식 응용 프로그램을 만들기 위해 진지하게 시도한다면 기사가 상당히 멋지다고 생각한다. 즉, 기사의 수준이 매우 낮습니다.

man-in-the-middle 공격과 같은 문제는 여기에서 다루지 않습니다. (이 경우 일반적으로 응용 프로그램 계층의 범위 밖에 있다고 생각할 수 있지만). 또 다른 가능한 취약성은 난수 생성 일 수 있습니다. 따라서 세션 키 생성의 구현에 따라 세션 키의 엔트로피는 무차별 대입 공격이 가능하거나 불가능한 최대 엔트로피만큼 낮을 수 있습니다.

그래서 실제로 솔루션이 어떻게 될지에 대한 보안 요구 사항에 따라 다르며 모든 경우에 적용되는 단일 보안 솔루션은 없습니다. 후자를 적용하려면 유효한 세션 ID가 있고 세션이 어느 IP에 바인드되어 있는지 알고 있어야합니다. 또한이 예제의 대상이 은행이라고 가정합니다. 이제는 내 계좌로 돈을 이체하라는 요청을 할 수 있으며 내 주소를 스푸핑하고 도난당한 세션을 제공하여이 작업을 할 수 있습니다. 좋아요, IP 주소가 스푸핑 되었기 때문에 내 요청에 대한 응답이 도착하지 않을 것이지만 서버가 내 요청을 수락 한 이후로 돈을 얻었습니다.

요점은 상황에 따라 보안 요구 사항과 보안 솔루션이 크게 다를 수 있다는 것입니다.