[讨论]有没有处理过会话标识未更新、跨站点请求伪造的同仁-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[讨论]有没有处理过会话标识未更新、跨站点请求伪造的同仁

发表于: 2011-12-3 22:01 3435

[讨论]有没有处理过会话标识未更新、跨站点请求伪造的同仁

xtqsky

2011-12-3 22:01

3435

公司做的网银系统客户做安全检测查出来这些问题。

开发语言为JAVA，不知道有没有处理过类似问题的。

我解决的方案是：

1. 会话标识未更新
在登陆后台每次生成新的session并销毁cookie.

2.跨站点请求伪造
配置服务器域名路径，使用filter过滤所有后台调用检查request head匹配路径信息。

目前补丁已经整理给客户但不知道能不能验收通过了。。

有处理过的给点意见啊

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (1)
MyWOW 雪币： 4 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	MyWOW 2 楼没有遇到过原来你也弄web 2011-12-4 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xtqsky

发帖

123

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
MyWOW 雪币： 4 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	MyWOW 2 楼没有遇到过原来你也弄web 2011-12-4 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]有没有处理过 会话标识未更新、跨站点请求伪造 的同仁

[讨论]有没有处理过会话标识未更新、跨站点请求伪造的同仁