資安JAVA(十七): 硬性 SESSION 逾時機制

來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 17 – SET A HARD SESSION TIMEOUT
作者:John Melton
內文:
Bank website: Warning ! Push F5 before expired.
What is it and why should I care?

對於應用程式來說,Session 逾時機制是很重要的安全控制措施。這機制主要是在使用者登入一段時間後,強制使用者重新進行身分鑑別。逾時機制分為兩種:軟性和硬性。

硬性 Session 機制限制使用者登入一段時間後,必定要重新登入。以下是個範例,假設我們有個應用程式是:
  1. 需要經過身分鑑別才能使用應用程式
  2. 嘗試瀏覽應用程式時會轉向到登入頁面
  3. 使用者登入後,無論動作中或停止,只要超過 9 小時就必須登出,因此你的硬性 Session 逾時機制上限為 9 小時。
最終效果是,當使用者回到桌面重新點選應用程式後,將會被轉向到登入頁面。

上一段主要是講解硬性機制如何使用,但是硬性機制能避免甚麼弱點?雖然軟性機制能避免 CSRF 和類似的攻擊,硬性逾時機制則是避免攻擊者能永久持有受害者的帳戶,因為他們勢必要重新鑑別身分。為了避免這樣的事情發生,當使用者修改密碼時也應該要重新鑑別身分。


What should I do about it?

許多沒有軟性逾時機制的應用程式仍有硬性逾時機制。不幸的是對於 Java 開發人員,並沒有選擇餘地。這表示你必須自己寫一個或別人寫好的來用。
Java 中的硬性 Session 逾時機制可以有以下幾種方案:

方案一:設定逾時機制在程式碼中

Java API 並不支援,然而你可以輕鬆的建立一個 filter 來完成任務。簡單的說,你要將所有使用者的上次登入時間和合法的 Session id 存在清單中,如果某個Session id 的使用者送出 request 到 Server,就先檢查登入時間是否大於 X 分鐘(硬性逾時上限)。如果超過,取消 Session 的合法性,強制轉向登入頁面。很容易懂的概念。

方案二:利用第三方套件

雖然作者無法舉出任何第三方套件支援以上功能,理論是應該是有的。作者鼓勵大家寫出來後記得分享給整個社群。

方案三:設定逾時機制在單點登入系統(SSO)

這不是 Java 獨有的方案,但還是可以介紹一下。許多企業使用單點登入身分系統,以管理所有的應用程式。而他們正好提供 Session 逾時機制功能,包括軟性和硬性。

硬性逾時是很有用的安全控制機制,能讓你替應用程式增加額外一層的保護。

參考資料
http://www.jtmelton.com/2012/04/17/year-of-security-for-java-week-16-set-a-soft-session-timeout/

———–———–
資安Java: 上一篇 || 下一篇
———–———–


留言

張貼留言

這個網誌中的熱門文章

資安JAVA(八):HTTP強制傳輸安全(HSTS)

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 8 – HTTP STRICT TRANSPORT SECURITY 作者:John Melton 內文: Safe path. What is it and why should I care? HTTP強制安全傳輸技術,強制所有瀏覽器只能透過SSL或TLS連線到網站。 只要在HTTP網頁標頭加上特殊的HSTS,支援HSTS的瀏覽器就會限定只能經由HTTPS連線。以下是流程: 第一步,使用者造訪網站,不論透過HTTP或HTTPS。通常大部分是HTTP。 第二步,網站輸出網頁,內容包含HSTS標頭。90天內都只能透過HTTPS連線。 第三步,支援HSTS的瀏覽器90天內都不會送出 "非SSL" 的要求給網站。
更多詳細 »

以 SharpPcap 實作可收聽封包的 C# 程式

有個需求是收聽網站的流量,檢查是否有包含特定格式資訊的封包。從幾天前開始思考相關實作的問題。 如何檢查有人透過 Http 方式連線到網站? 側錄本機或同網段的封包才能滿足收聽的需求。Http協定送出的封包,到了底層是走tcp/ip,只要能夠抓取tcp/ip封包,並轉換成可處理的格式,就能檢查是否有人送出資訊。 今天的情境是要監聽同網段的網站流量,於是開始搜尋可用工具。其中,在Windows環境最有名的就是 WinPcap ,網路上已經有熱心人士提供包裹在 C# 的元件,只要先安裝好WinPcap,然後下載元件到自己的應用程式,即可收聽封包。該元件就是 SharpPcap ,2004年,美國的 Tamir Gal 為了完成大學的專案,在.NET 應用程式中使用 WinPcap 的功能,因此順便開發了SharpPcap 。他甚至寫了範例,使得開發人員可以更快學習如何利用他的元件,詳細資料請到  他的網站 。 如何使用SharpPcap ? 第一,下載 WinPcap,並妥善安裝完畢。( 下載連結 ) 第二,下載 SharpPcap 。( 下載連結 ) 第三,將 PacketDotNet.dll 和 SharpPcap.dll 加入到應用程式的參考中。 using SharpPcap; using SharpPcap.LibPcap; using PacketDotNet;
更多詳細 »

資安JAVA(四):Session Cookie HTTPOnly Flag

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 4 – SESSION COOKIE HTTPONLY FLAG 作者:John Melton 內文: What is it and why do I care? Session cookies(或是包含 JSESSIONID 的 cookie)用來管理WEB應用程式的 Session。這些 Cookies 包含特定使用者的 Session ID 的參考值,而同樣的 ID 也放在伺服器端並可識別該使用者其他的 Session 資料。這是最常用的管理方式,因為 cookies 會隨著每次 request 送出。 HttpOnly flag 作用是預防攻擊者透過 XSS 弱點獲得 session cookie。一旦 XSS 攻擊者成功,攻擊者便可以挾持受害者的 session 以合法身分登入。HttpOnly flag 對於這種攻擊十分有效。
更多詳細 »