0
我正在通過安全任務,我們正在強化PHP應用程序以抵禦安全問題。我們建議我們做的一件事是'驗證用戶的IP地址和瀏覽器'。爲什麼要驗證登錄用戶的IP地址和瀏覽器?
我可以看到爲什麼您可能需要驗證IP地址的幾個原因:您可以檢查用戶是否在使用他們的「家庭」IP地址,並詢問他們是否使用了不常見的IP 。
這是它的基本要點嗎?還有什麼你想要處理他們的IP和瀏覽器信息?
A
回答
1
驗證用戶IP和瀏覽器的主要思想與會話劫持攻擊有關。以下威脅可以算作最常見的情況:
- 攻擊者可以對你的客戶做中間人攻擊(MITM),並且可以獲得會話密鑰(cookie)。這意味着攻擊者可以使用這個cookie值並破解客戶端帳戶。
- 您的應用程序可能容易受到跨站點腳本攻擊。這意味着攻擊者可以控制客戶端的瀏覽器內容並執行任何Javascript代碼。這意味着攻擊者可以獲得會話密鑰(cookie)客戶端。
您需要保護客戶,即使他們丟失了他們的cookie值。最好的辦法是檢查客戶的IP。
另外信息[1]:https://www.owasp.org/index.php/Session_hijacking_attack
另外信息[2]:https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
相關問題
- 1. 登錄用戶:要發送給瀏覽器的什麼信息?
- 2. 瀏覽器IP地址
- 3. 登錄驗證+ IP地址驗證在PHP
- 4. 尋找用戶來自網頁瀏覽器的IP地址和MAC地址
- 5. 驗證碼和IP地址
- 6. 計算機/瀏覽器運行applet的IP地址是什麼?
- 7. IP地址驗證
- 8. 獲取客戶端IP地址UC瀏覽器和Opera Mini
- 9. 爲什麼reCaptcha需要用戶的IP地址?
- 10. 如何確定瀏覽器版本和使用javascript登錄的用戶IP地址
- 11. 做瀏覽器保護用戶IP地址嗎?
- 12. 使用SSL瀏覽到的IP地址
- 13. ADF應用程序中的IP地址和瀏覽器信息
- 14. 使用Devise登錄時記錄用戶的IP地址(Rails 3.2)
- 15. 來自瀏覽器對象的客戶端IP地址
- 16. 彈簧IP地址驗證
- 17. PHP驗證IP地址
- 18. IP地址驗證幫助
- 19. 爲什麼需要驗證用戶名?
- 20. 訪問計數和IP地址驗證
- 21. 相同的登錄驗證使用Servlet的瀏覽器和Android應用程序
- 22. 使用現有IP地址範圍驗證IP地址
- 23. 驗證用戶時,他們輸入網址到瀏覽器
- 24. Cakephp和Facebook身份驗證:如果用戶在瀏覽器中登錄Facebook,請防止自動登錄
- 25. 網站使用casperjs或新瀏覽器登錄時要求輸入驗證碼
- 26. 我的登錄頁面被瀏覽器驗證框取代
- 27. 爲什麼驗證器顯示在驗證器和驗證器摘要中
- 28. 簡單的用戶身份驗證和有用的瀏覽器
- 29. 驗證用戶登錄
- 30. 爲什麼需要瀏覽器重置?
通用IP驗證過程,以檢查是否它不是從一種罕見的地理位置。例如,從美國登錄的用戶無法在5分鐘內從南非登錄......您還可以檢查RIPE數據庫以說明IP欺騙,並且您可能有需要管理員的系統驗證IP可用於登錄... – RichardBernards 2014-11-24 13:49:07
需要注意的一點是,公共WiFi,移動設備和通過代理訪問您的網站的用戶通常可能來自不同的地點,即使在很短的時間內也是如此。你也有來自一個IP(公共WiFi,工作網絡等)的多個用戶的問題,這使得將cookies和會話信息綁定到特定的IP是一個壞主意。用戶代理字符串不可靠(可以輕鬆更改),但對於(誠實的)機器人和搜尋器的特徵檢測和識別非常有用。我會更多關注在請求之間變化的IP/UA。 – 2014-11-24 14:11:59
這個問題似乎脫離主題,並會更好地適應在http://security.stackexchange.com/。 – 2014-11-24 14:28:12