当cookie被x 之后如何保证帐号安全?

  • A+
所属分类:WooYun-Zone

首先想到的就是ip 但是CEO CTO XXO 不同意说用户体验不好!

然后想到的是浏览器头信息。但是尼玛要是那天不小心升级了浏览器。记住登录就over了 也要影响体验。

大家集思广益 看看还有撒好方法。在不影响用户体验的前提下 解决xss的问题!

  1. 1#

    abcdlzy | 2013-03-22 09:12

    httponly?不过有ajax的话,用起来会超级不方便。
    有个奇怪的想法就是判断登陆地区,比如说跨省就算被X,然后在用户cookies上面写个比如说token的东西,然后服务端去综合校验,如果发现跨省,就当成被X了,然后报废用户当前的token

  2. 2#

    Wdot | 2013-03-22 09:15

    唯一不可伪造的只有IP地址。
    参考 http://wdot.cc/Defense/92.html
    或者判断常登陆的所在地,比如说xx市,减少被x的几率。

  3. 3#

    GaRY | 2013-03-22 09:28

    @abcdlzy 说的不错。目前对于类似问题,基本都是如果发现跨地区了,就要求重新登录。微博等容易爆发xss的地方,都是这么做的。
    判断ip不太赞同,毕竟现在有移动客户端,ip之类很容易变。

  4. 4#

    齐迹 (sec.zbj.com 欢迎来撸) | 2013-03-22 09:37

    @GaRY 这个方法比较折中。暂时使用此方法进行处理。刚好我们所有用户登录都有保留经纬度。判断10公里范围。应该基本无大碍。

  5. 5#

    齐迹 (sec.zbj.com 欢迎来撸) | 2013-03-22 09:38

    @abcdlzy token 也是可以被x 拿到的

  6. 6#

    VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。|预留广告位) | 2013-03-22 12:17

    用网卡MAC生成唯一的机器码怎么样?http://blog.163.com/mengqing_dao/blog/static/1335205132012122378633/

  7. 7#

    齐迹 (sec.zbj.com 欢迎来撸) | 2013-03-22 12:36

    @VIP web程序拿不都mac。。。别给杂文带坏了。

  8. 8#

    xsser | 2013-03-22 12:36

    @abcdlzy 和httponly不冲突吧

  9. 9#
    感谢(2)

    gainover | 2013-03-22 12:39

    http-only 算是个基础防护吧,起码对方需要自己写代码来进行某些操作,而不是直接被劫持到。

  10. 10#

    lxsec (我的头像灰了!) | 2013-03-22 13:29

    @abcdlzy 要是挂个代理、vpn什么的自己不也被封了

  11. 11#

    abcdlzy | 2013-03-22 14:17

    @xsser 在弄asmx的时候,搞死传输不了httponly的cookies过去,应该是技术不够吧,反正各种搜索引擎都用了个遍,没找到解决方案,所以产生了点阴影。。
    @lxsec 普通用户一般不挂代理的吧?
    @齐迹 这个考虑到了,想了下,还真不科学

  12. 12#

    核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-03-23 08:14

    一看楼主就没实践过,什么“用户体验不好”,这种问题压根不会存在!

    谁叫你永久记录了……

    记录【本次登录】信息即可……

    最简单的:

    session(“ceo”) = ip

    session(“ceo”) = ip + user_agent

    或更复杂的……

    由于记录的是本次登录信息,所以对用户来说,完全无影响……

    但对攻击者来说,蛋裂……

    什么ip变更、浏览器升级,完全不存在这些问题,除非你登陆中换ip、浏览器,这占极少数……

    但仍然无法防御js模拟操作(不使用cookie)……

  13. 13#

    核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-03-23 08:19

    以上方法,本人已使用很久,从没出现过什么用户体验问题。

    唯一碰到的情况是,宽带掉线,重登陆ip变更,导致cookie失效,重登陆即可。

    但这种情况,极少见,所以可以忽略。

  14. 14#

    齐迹 (sec.zbj.com 欢迎来撸) | 2013-03-23 15:38

    @核攻击 好吧 你赢了。你觉得你的方法第二天来还保持登录状态吗?

  15. 15#

    核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-03-23 21:21

    @齐迹 如果站点,需要保持登录状态的话,比较难实现。

    我是使用的一次性登录。

  16. 16#

    核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-03-23 21:52

    我以为楼主是需要一次性登录之类的,如果是微博之类需要保持登录状态的话,没法绑定IP。

  17. 17#

    Lmy (话说名字太长容易被人关注) | 2013-03-24 22:32

    @齐迹 如果是后台的话可以考虑 自己写插件 控制行为

  18. 18#

    Lmy (话说名字太长容易被人关注) | 2013-03-24 22:35

    最简单的处理就是 没有“插件”后台根本打不开

  19. 19#

    Lmy (话说名字太长容易被人关注) | 2013-03-24 22:40

    如果是前端 多次确认+第三方确认(PS:参考下Google两步登陆
    关键操作“需要密码”

  20. 20#

    Lmy (话说名字太长容易被人关注) | 2013-03-24 22:47

    @齐迹 同源策略