至顶网›安全频道 ›应用安全›十大工具及应用策略搞定OWASP热门威胁

十大工具及应用策略搞定OWASP热门威胁

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

如果你以一位安全问题分析师的角度，已经花费了不少时间来寻求网页应用程序的安全保障方案，或者是以开发者的身份来探讨SDLC的实践应用，那么你很可能会对OWASP的十大工具感兴趣，进而在今后面对问题的时候用到它们的功能。

来源：51CTO 2011年3月31日

　　第三位: 无效的认证及会话管理功能

　　无效的认证及会话管理功能会导致一种通病，即在会话ID保护方面的薄弱。它们一般来说既不具备SSL/TLS的保护，存储方式简陋低劣(未进行加密)，又暴露在来自URL的改写风险之下。我的确遇到过有些应用程序的会话ID是被用户以一段MD5码或是SHA1散列形式的密码所保护起来的。如果攻击者发动的是中间人攻击或是通过XSS漏洞获取到会话ID，那么在假设这一过程不可逆的前提下，我们将可以使用火狐的插件HackBar加以应对。HackBar插件在安装之后，可以通过按下功能键F9的方式调出，然后选择加密，接下来是选择MD5加密或SHA1加密，最后将攻击检测结果发出(如果有结果可显示的话)。

　　图三 - HackBar>

　　除了XSS及SQLi检查，HackBar在对Base64，各种URL以及HEX的编码及解码方面也非常实用。