Web应用安全威胁与防治

本书的试读章节让我们知道了会话劫持的危害性，对身份验证和会话管理做了详细的讲解。首先让我们看看下面两个概念：

1.什么是OWASP？

OWASP开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。

2.什么是ESAPI？

 

ESAPI (OWASP企业安全应用程序接口)是一个免费、开源的、网页应用程序安全控件库，它使程序员能够更容易写出更低风险的程序。ESAPI接口库被设计来使程序员能够更容易的在现有的程序中引入安全因素。ESAPI库也可以成为作为新程序开发的基础。

伴随互联网的高速发展，基于B/S架构的业务系统对安全要求越来越高，安全从业人员面临空前的压力。如何让安全从业人员快速掌握Web应用安全？

在安全领域中，有两个非常重要的概念— —Authentication(身份验证)和Authorization(授权)。Authentication说明你是谁，Authorization说明你可以干什么？在当今的网络应用中最常见的身份认证方式就是用户名加密码或者其他的只有当前用户知道的一些私人问题。

我们将采用什么措施来保护我们的会话？

1.采用强算法生成Session ID.

2.软硬兼施，会话过期.

3.保护你的Cookie.

4.提供logout功能.

现在很多网银登录是是采用两种身份验证，一般的都是用户名/密码加上手机的一个动态指令来进行身份验证。

但是，我在用的过程中觉得还不是那么的安全，因为你登录之后忘记了退出，当我下次登录的时候就没有了手机动态指令的输入。这是一个很大的安全隐患，所以我觉得安全身份验证越多，就越加的安全。