為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下損壞驗證功能與 session 相關的內容。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146876
本篇範圍:Chapter 2
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. 完成驗證後,會需要後端 session 將這個狀態給儲存。
以原生的 PHP 的 Session 管理,會有機會出現
1. 因 server 端是以明文儲存。若 server 端被入侵,那根據 session 就會找到對應使用者記錄,進而做其他存取
2. server 端的運用 Load Balancer, Redis,將 session 的儲存記錄另外存放。這些額外存放的維護,以及 server 端與其的傳輸安全,也會需要注意
3. client 端傳送過來的 session 和 state,會需要驗證
4. client 端傳送過來的 $POST, $GET 內容,也需要進行過濾驗證