《Web应用安全威胁与防治》试读

        这是一本关于web安全的书，可能对于大多是开发者来说，接触最多的还是技术方面的书。对安全的理解可能仅仅停留在HTTPS，SSL认证，密码加密，sql注入。看完试读章节后，我发现自己对安全方面的知识真是太匮乏了。

 

        第六章主要是介绍了几种安全扫描、测试工具的使用，由于工作中接触不到这些工具，在这里只能感叹一下，现在的测试软件真的太强大了。从另一方面，也增长了我的见识，对于Web安全领域，我还是菜鸟，必须要引起重视，有机会一定要亲手操作一下。

 

        本书的精华在于结合各种威胁的发起原理，总结了在设计和编码过程中的安全原则，并且提出了应对的解决方案。

        第十章内容是身份认证和会话管理，围绕这个话题的核心对象就是Session。我们都知道，HTTP是无状态的，服务器跟浏览器的会话认证是通过JSESSIONID来实现的。JSESSIONID一旦泄露就直接关系到当前会话的安全。JSESSIONID通常在客户端是存放在cookie中的。为了安全考虑，最好设置cookie的失效时间或者关闭浏览器后失效。 

 

cookie.setMaxAge (0);

 

        在服务器端，为了防治固定会话，一旦用户登录成功以后，马上调用Session.invalidate()，然后新建一个Session,用户使用这个新的会话登录到系统中并进行操作。如果用户登入后长期没有操作，处于安全的考虑，我们也应该将Session过期，让用户重新认证登陆。

        

<session-config>
      <session-timeout>15</session-timeout>
</session-config>

或者

 

session.setMaxInactiveInterval(15*60);

 

        作为用户来说，网上交易或者支付之后，最好清除缓存和cookie,关闭浏览器后重新打开。

 

    第十二章的内容是跨站请求伪造（CSRF）,也就是通过伪造URL来进行攻击。所以，对于重要操作的URL，一定要加上TOKEN来防止伪造。我们最常用的网银的支付转账的操作，要求用户输入支付密码，增加确认界面，都能一定程度的防止CSRF。

    除此之外，作为用户，在浏览网页时，对于弹出的窗口如果不确定，应立马关闭，不要去点击。一些垃圾邮件，或者一些莫名其妙的连接，也不要去点。很有可能会中招。

    如果我们要在项目中防范CSRF，作者也提到了解决方案，借助ESAPI 在请求中加入TOKEN来防止伪造，通过OWASP CSRF Guard 这个Java 类库，来防止CSRF攻击。