非安全黑客脚本全本 密码安全与会话安全

我们再来看会话安全（密码安全还有各种各样的问题，篇幅有限，不再聊了）。

会话标识存储安全

登录完成后，用户不可能每一次操作都需要输入密码。因此系统需要记录用户的登录状态，又称会话状态。常见的做法是系统保存session。session存入用户信息，生成随机数sessionId，将sessionId返回浏览器，并存入浏览器的cookie中，下一次用户访问系统，携带cookie，系统通过cookie找到session，就可以知道用户是谁。

对于集群服务，用户首次登陆，访问的A服务器，A服务器存入session，下次访问到了B服务器，B服务没有session，认为用户没有登陆，提示用户需登陆，这是一个bug。我们将每台服务器都识别到有session就可以解决这个问题了。session存入redis，登陆时往redis存session，之后都从redis取session。或者每台服务器都有session，每台服务器的session同步也能解决这个问题。

不管采用哪种方式，都有一个安全风险，sessionId给出去了，不论sessionId是随机数生成还是加密算出来的字符串，黑客并不关心，黑客只关心这个字符串代表了用户的会话状态。黑客也不需要拿到密码只需要拿到这个字符串，就可以模拟用户进行诈骗，转账，发表非法政治评论等非法活动。

保护sessionId不被非法利用与保护密码同等重要。大多数情况下sessionId存储在cookie中，我们先了解cookie。

这是登录okta后生成的其中一个cookie，有name，value，domain，path，Expires/Max-Age，Httponly，Secure等属性，这里重点介绍其中几个。

知道cookie的几个特性后我们再来看看攻击人常用的几种攻击方式：XSS攻击，CSRF攻击。

会话标识传输安全

XSS攻击叫做跨站脚本攻击，指用户的输入拼接了正常的html+js+css，变成了带有攻击性的html+js+css。浏览器可能无法识别具有攻击性的html+js+css，按照正常的逻辑执行代码，这可能会导致攻击人偷走cookie（XSS还有其他的危害，但这里仅讨论与会话标识相关）。如果黑客在html中插入隐藏的form表单，通过document.cookie()获取到浏览器中cookie，作为参数并自动发送post请求到攻击人的后端api中，攻击人就可以拿到用户的cookie，也就可以拿到sessionId了。这种方式可以通过设置cookie的HttpOnly为true来防止js获取cookie值。从而避免通过XSS攻击获取sessionId。

CSRF攻击叫做跨站请求伪造。XSS攻击是指本网站的代码执行攻击脚本造成了对本网站的影响。CSRF攻击则是用户打开了其他网站，浏览器执行了其他网站的攻击脚本，却对本网站造成了伤害。举个例子，当我在浏览器中登录了某银行的网站，进行了转账操作，浏览器调用了，我的账户少了100块，收到短信扣了100块。这时来了一封邮件非安全黑客脚本全本，标题为你想得到力量吗？内容是一个链接，我点击这个链接，看到url是，立马又收到一个短信，我账号又少了1000块，我刷新下页面，又少1000块。打开页面查看源码，发现有个隐藏的标签，src=https://www.xxx.com/transfertoBankId=123456&money=1000。也就意味着每次刷新页面，浏览器都会执行一次 GET请求。

大多数浏览器有同源策略（协议\主机\端口组成源），其中一个限制是同源的网页才会共享cookie。但浏览器对html标签有白名单，img就是其中之一，通过img标签的src就可以发送get 请求，因访问的是xxx(银行)的域名，携带了cookie，银行认为是合法请求，转账成功。因img是get请求，那把转账等高危操作改成post接口不就可以了? 也不行，因为form表单的post请求也在白名单中。