ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
يك شناسنده نشست جديد يا قبلا تنظيم شده يا غير معتبر راتوسط يك URLقبول-نكنيد: چرا كه اين يك حمله است و"session fixation"-ناميده مي شود.براي اعتبار سنجي يا مديريت نشست ها از كوكي ها استفاده نكنيد يا آنها را محدود كنيد:"single-sign on"براي هدف هايي me" "rememberنظيريانبايد از روش هاي دست سازاستفاده كنيد. مي توانيد از روش هاي ديگري كه ثابت شده هستند مانند1SSO هاي پيش ساخته يا--2راه حل اعتبار سنجي متحد استفاده كنيد.تنها از يك مكانيزم اعتبار سنجي استفاده كنيد: كه اين مكانيزم بايد قوي و جامع باشد. مطمئن3شويد كه اين مكانيزم به سادگي در معرض حملات كلاهبرداري و Replay attack قرار نمي گيرد.اين مكانيزم را خيلي پيچيده نكنيد تا خودش آسيب پذير نگردد.اجازه انجام فرآيند ورود را از يك صفحه غير امن و رمز نشده، ندهيد: هميشه فرآيند ورود رااز يك صفحه امن ثانويه با يك مشخصه نشست جديد انجام دهيد.با اين كار جلوي بسياري حملاتنظير دزدي اعتبار نامه يا نشست، حملات كلاهبرداري و حملات session fixationكاربر به مقداري معلوم) گرفته مي شود.(تعيين نشست- ساخت يك نشست جديد در صورت اعتبار سنجي موفق يا تغيير سطح مجوزها.گذاشتنگزينهخروج از سايت در تمامي صفحات:در فرآيند خروج بايد تمامي نشست هاي-سمت سرور و همچنين كوكي هاي سمت كاربر، به كلي نابود شوند.دراين قسمت بايد به فاكتورهايانساني نيز دقت كرد تا كاربران به استفاده از گزينه خروج از سايت پس از پايان كارهايشان تشويقشوند.1 Single Sign-On2 Federated authentication solutions3 Spoofing118