单个站点上的多个应用程序 - 会话和表单身份验证范围

在单个站点上部署多个应用程序时，会话和表单身份验证范围是一个重要的考虑因素。以下是关于会话和表单身份验证范围的相关信息：

会话（Session）

会话是一种在服务器和客户端之间建立的通信机制，用于在多个页面之间共享数据。在单个站点上的多个应用程序中，会话管理需要考虑以下几点：

会话粒度：会话可以在站点级别或应用程序级别进行管理。站点级别的会话可以在多个应用程序之间共享，而应用程序级别的会话仅限于单个应用程序。
会话ID：为了区分不同的会话，服务器会为每个会话分配一个唯一的ID。在单个站点上的多个应用程序中，需要确保每个应用程序使用不同的会话ID，以避免会话冲突。
会话超时：会话的超时时间应根据应用程序的需求进行设置，以确保安全性和用户体验。
会话存储：会话数据可以存储在服务器内存、数据库或其他持久化存储中。在单个站点上的多个应用程序中，需要考虑会话存储的共享和隔离。

表单身份验证范围（Form Authentication Scope）

表单身份验证范围是指在使用表单身份验证时，身份验证的范围和适用范围。在单个站点上的多个应用程序中，表单身份验证范围需要进行设置，以确保每个应用程序的身份验证规则和权限设置正确。

身份验证范围：可以在站点级别或应用程序级别设置身份验证范围。站点级别的身份验证范围可以在多个应用程序之间共享，而应用程序级别的身份验证范围仅限于单个应用程序。
身份验证规则：身份验证规则应根据应用程序的需求进行设置，以确保安全性和用户体验。在单个站点上的多个应用程序中，需要为每个应用程序设置不同的身份验证规则。
权限设置：权限设置应根据应用程序的需求进行设置，以确保用户只能访问其拥有权限的资源。在单个站点上的多个应用程序中，需要为每个应用程序设置不同的权限设置。

总之，在单个站点上部署多个应用程序时，会话和表单身份验证范围是一个重要的考虑因素。需要根据应用程序的需求进行设置，以确保安全性和用户体验。

相关·内容

owasp web应用安全测试清单

（例如，移动站点、作为搜索引擎爬虫的访问）执行Web应用程序指纹识别使用的技术识别用户角色确定应用程序入口点识别客户端代码识别多个版本/渠道（例如web、移动web、移动应用程序、web服务）...确定共同托管和相关的应用程序识别所有主机名和端口识别第三方托管的内容配置管理：检查常用的应用程序和管理URL 检查旧文件、备份文件和未引用文件检查支持的HTTP方法和跨站点跟踪（XST）...传递的会话令牌检查是否正在使用HTTP严格传输安全性（HSTS）身份验证：用户枚举测试身份验证旁路测试强力保护试验测试密码质量规则测试“remember me”功能密码表单/输入上的自动完成测试...测试帐户锁定和成功更改密码的通道外通知使用共享身份验证架构/SSO测试应用程序之间的一致身份验证会话管理：确定应用程序中如何处理会话管理（例如，Cookie中的令牌、URL中的令牌）检查会话令牌的...测试用户是否可以同时拥有多个会话随机性测试会话cookie 确认在登录、角色更改和注销时发布了新会话令牌使用共享会话管理跨应用程序测试一致的会话管理会话困惑测试 CSRF和clickjacking

2.4K0 0

密码学系列之:csrf跨站点请求伪造

通过保存在用户Web浏览器中的cookie进行身份验证的用户可能会在不知不觉中将HTTP请求发送到信任该用户的站点，从而导致不必要的操作。为什么会有这样的攻击呢？...攻击者必须在目标站点上找到表单提交文件，或者发现具有攻击属性的URL，该URL会执行某些操作（例如，转账或更改受害者的电子邮件地址或密码）。...攻击者必须为所有表单或URL输入确定正确的值；如果要求它们中的任何一个是攻击者无法猜到的秘密身份验证值或ID，则攻击很可能会失败（除非攻击者在他们的猜测中非常幸运）。...这项技术已经被很多框架实现了，比如Django 和AngularJS，因为令牌在整个用户会话中保持不变，所以它可以与AJAX应用程序很好地协同工作。注意，使用这项技术，必须确保同源政策。...提交表单后，站点可以检查cookie令牌是否与表单令牌匹配。同源策略可防止攻击者在目标域上读取或设置Cookie，因此他们无法以其精心设计的形式放置有效令牌。

2.6K2 0

工具 | w3af系列高级篇（三）

是由WEB服务器提供的http级别身份验证，通常网站的登录验证则是使用表单验证或者Cookie身份验证的方法。...detailed generic 身份验证插件负责在整个扫描过程中保持会话的有效性，w3af会在扫描开始前和扫描过程中每5秒运行运行一次以确保当前会话仍然存在。...▲auth_url:用于发送用户名和密码的POST请求URL地址。 ▲check_url:用于检查会话是否仍处于active状态的URL地址。...▲在 w3af 的http-settings 配置菜单中设置 herders_file为上一步创建的文件。 ▲保存。 ? ?...使用spider_man插件能够解决这些问题，它允许用户分析复杂的web应用程序。这个脚本会运行一个HTTP代理，用户可以通过这个代理浏览目标站点，在浏览过程中，插件将从请求和响应中提取信息。 ?

2.5K8 0

Kali Linux Web渗透测试手册(第二版) - 4.3- 使用Hydra对基本身份验证进行暴力破解攻击

的密码 4.5、手工挖掘cookie中的漏洞 4.6、攻击会话固定漏洞 4.7、使用Burp排序器评估会话标识符的质量 4.8、滥用不安全的直接对象引用 4.9、执行跨站点请求伪造攻击 ---- 4.3...在Hydra支持的众多服务中，我们可以找到HTTP登录表单和HTTP基本身份验证。在HTTP basic身份验证中，浏览器在身份验证头中使用base64编码发送用户名和数据包。...原理剖析与其他身份验证方法（例如基于表单的身份验证方法）不同，基本身份验证在发送到服务器的内容、如何发送以及期望从服务器得到的响应方面是标准的。...另请参阅到目前为止，我们已经在web应用程序中看到了两种身份验证方法，即基于表单的身份验证和基本身份验证。...该方案需要多个请求-响应交换，服务器和任何介入代理必须支持持久连接。 Kerberos身份验证：这种身份验证方案使用Kerberos协议对服务器进行身份验证。

3K4 0

Kali Linux Web渗透测试手册(第二版) - 4.8- 执行跨站点请求伪造攻击

- 4.9、执行跨站点请求伪造攻击 CSRF攻击是指经过身份验证的用户在对其进行身份验证的Web应用程序中执行不需要的操作的攻击。...在本文中，我们将从应用程序中获取所需信息，以便了解攻击站点应该如何向易受攻击的服务器发送有效请求，然后我们将创建一个模拟合法请求的页面，并诱使用户访问经过身份验证的那个页面。...虽然这证明了这一点，但外部站点（或本例中的本地HTML页面）可以在应用程序上执行密码更改请求。用户仍然不太可能点击“提交”按钮。我们可以自动执行该操作并隐藏输入字段，以便隐藏恶意内容。...我们的文件看起来像这样：注意表单的target属性是如何在它下面定义的iframe，并且这样的框架具有0％的高度和宽度。 10.在启动会话的浏览器中加载新页面。...如果服务器没有验证它收到的请求实际上来自应用程序内部，通常是通过添加包含唯一的参数,对于每个请求或每次更改的令牌，它允许恶意站点代表访问此恶意站点的合法，活跃用户进行呼叫，同时对目标域进行身份验证。

2.1K2 0

逆天了，你知道什么是CSRF 攻击吗？如何防范？

受害者的浏览器针对目标站点进行身份验证，并用于路由目标站点的恶意请求。在这里，受害者的浏览器或实施了 CSRF 预防方法的站点不会受到攻击；受影响的网站是主要漏洞。...有几种 CSRF 预防方法；其中一些是：在不使用 Web 应用程序时注销它们。保护您的用户名和密码。不要让浏览器记住密码。在您处理应用程序并登录时，请避免浏览。...反 CSRF Token 阻止跨站点请求伪造 (CSRF) 的最常见实现是使用与选定用户相关的令牌，并且可以在每个状态下作为隐藏表单找到，动态表单出现在在线应用程序上。 1....试图伪造请求的攻击者将不得不猜测反 CSRF 令牌和用户的身份验证密码。一段时间后，一旦会话结束，这些令牌就会失效，这使得攻击者难以猜测令牌。 2....虽然数据检索不是 CSRF 攻击的主要范围，但状态变化肯定会对被利用的 Web 应用程序产生不利影响。因此，建议防止您的网站使用预防方法来保护您的网站免受 CSRF 的影响。

2K1 0

十个最常见的 Web 网页安全漏洞之首篇

当攻击只需要 Web 浏览器而且最低级别是高级编程和工具时，可攻击性最高。可检测性 - 检测威胁有多容易？最高的是显示在 URL，表单或错误消息上的信息，最低的是源代码。...十大安全漏洞 SQL 注入跨站脚本身份验证和会话管理中断不安全的直接对象引用跨站点请求伪造安全配置错误不安全的加密存储无法限制 URL 访问传输层保护不足未经验证的重定向和转发注...易受攻击的对象在 URL 上公开的会话 ID 可能导致会话固定攻击。注销和登录前后的会话 ID 相同。会话超时未正确实现。应用程序为每个新会话分配相同的会话 ID。...CSRF 攻击是指恶意网站，电子邮件或程序导致用户的浏览器在当前对用户进行身份验证的受信任站点上执行不需要的操作时发生的攻击。...CSRF 攻击强制登录受害者的浏览器向易受攻击的 Web 应用程序发送伪造的 HTTP 请求，包括受害者的会话 cookie 和任何其他自动包含的身份验证信息。

2.6K5 0

CVE-2021-27927: Zabbix-CSRF-to-RCE

Summary Zabbix是企业IT网络和应用程序监视解决方案。在对其源代码进行例行检查时，我们在Zabbix UI的身份验证组件中发现了CSRF（跨站点请求伪造）漏洞。...后端同时验证反CSRF令牌和用户的会话Cookie。令牌可以作为HTTP标头或在请求正文中传输，但不能作为Cookie传输。...此表单控制用于登录Zabbix的身份验证类型，该身份验证可以是“Internal”或“ LDAP”之一。如果使用LDAP，还可以设置LDAP提供程序的详细信息，例如LDAP主机和端口，基本DN等。...一旦发生这种情况，Zabbix管理员将看到站点上的身份验证设置已自动更新，如下所示： ? ? 此时，攻击者可以使用自己的管理员用户凭据登录。...这是因为Zabbix使用测试用户和密码来验证LDAP服务器连接，这是处理身份验证设置表单提交的一部分。攻击者可以通过Zabbix应用程序连接到他/她自己的LDAP服务器来立即知道CSRF攻击是否成功。

1.8K3 0

终极 API 学习路线图

API 身份验证 API 身份验证技术，如基本身份验证、令牌、JWT、OAuth 和会话身份验证 5. API 文档一个好的 API 是可以理解的。...此令牌可以做一些重要的事情：单点登录（SSO）：使用 OAuth 令牌，您只需一次登录即可登录多个服务或应用程序，让生活更轻松、更安全。...也许您的建议实际上导致了 OAuth 3。会话、Cookie、JWT、令牌、SSO 和 OAuth 2.0 在一个图表中解释当您登录网站时，需要管理您的身份。...签名包含在令牌中，因此不需要服务器会话。 SSO - Single Sign On 使用中央身份验证服务。这允许单个登录在多个站点上工作。...OAuth2 - 允许一个站点对另一个站点上的数据进行有限访问，而不会泄露密码。 QR Code - 将随机令牌编码为 QR 码以进行移动登录。扫描代码无需键入密码即可登录。

971 0

使用Cookie和Token处理程序保护单页应用程序

令牌处理程序模式通过将会话和 Cookie 的便利性与访问令牌的强度相结合，解决了多个 SPA 漏洞。...曾经，拥有单个后端服务器提供 HTML 和数据的网站是主要的在线界面，但现在，拥有多个后端微服务的 SPA 变得越来越普遍。然而，SPA 本质上难以保护。...前端网站客户端在浏览器上存储 Cookie，这些 Cookie 会在每次用户访问请求时发送到单个后端数据服务器。授权决策可以基于存储在存储中的会话数据，因此用户访问仍然在网络防火墙后面得到保护。...通过实施将身份验证从浏览器中移除并利用使用同站点 Cookie 和令牌的 BFF（后端到前端）配置的令牌处理程序架构，组织能够从 SPA 的轻量级方面中获益，而不会牺牲安全性。...BFF 架构解决方案令牌处理程序模式通过提供一种方法来利用网站和应用程序安全性的最佳方面，将会话和 Cookie 的便利性与访问令牌的强度相结合，从而解决了多个 SPA 漏洞。

1471 0

CSRFXSRF概述

原理 CSRF攻击经常利用目标站点的身份验证机制，CSRF攻击这一弱点的根源在于Web的身份验证机制虽然可以向目标站点保证一个请求来自于经过站点认证的某个用户的账号，但是却无法保证该请求的确是那个用户发出的或者是经过那个用户批准的...CSRF攻击依赖下面的假定：攻击者了解受害者所在的站点；攻击者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie；目标站点没有对用户在网站行为的第二授权；欺骗用户的浏览器发送...验证码这种方法的出现的作用是对于机器人暴力攻击的防止。但在 CSRF 的防范上，也有一些安全性要求比较高的的应用程序结合验证图片和一次性令牌来做双重保护。...在实现One-Time Tokens时，需要注意一点：就是“并行会话的兼容”。如果用户在一个站点上同时打开了两个不同的表单，CSRF保护措施不应该影响到他对任何表单的提交。...必须小心操作以确保CSRF保护措施不会影响选项卡式的浏览或者利用多个浏览器窗口浏览一个站点。

1.5K2 0

ASP.NET Core XSRFCSRF攻击

这种利用形式也被称为one-click attack或者session riding，因为攻击利用了用户之前经过身份验证的会话。...，服务器给该用户颁发了身份验证 cookie，该站点容易受到攻击，因为它信任任何带有有效身份验证 cookie 的请求 (2) 用户无意浏览恶意站点 www.bad-crook-site.example.com...(3) 恶意站点 www.bad-crook-site.example.com 包含如下HTML 表单： Congratulations!.../> 注意，表单的提交是向受信任的站点提交，而不是向恶意站点提交，这是 XSRF/CSRF中所描述的 "跨站" (4) 用户选择提交按钮，浏览器发起请求并自动包含请求域的身份验证cookie...，即 www.good-banking-site.example.com (5) 该请求在 www.good-banking-site.example.com 服务器上运行，使用用户的身份，可以使用经过身份验证用户进行任何事情的操作

2251 0

开源鉴权新体验：多功能框架助您构建安全应用

这些开源项目致力于解决身份验证和授权问题，使您的应用程序更安全可靠。...它们支持各种身份验证协议，如OAuth2.0、SAML和OpenID Connect，还具备单点登录（SSO）、分布式会话管理和权限控制等功能。...该项目具有以下核心优势：提供了丰富的安全功能可以轻松集成到基于 Spring 框架开发的应用程序中支持各种认证和授权机制，包括表单登录、OAuth、JWT 等提供了细粒度的权限控制和访问管理功能...集中式身份验证和单点登录功能提供在线演示站点，包括只读站点和可写入站点完整的文档支持，并提供安装指南以及连接到 Casdoor 的方法具有公共 API 和 Swagger 文档支持支持各种集成方式...通过使用 SSO，在登录到一个网站后，您将自动在所有关联网站上进行身份验证。这些网站不需要共享顶级域名。 SSO 允许用户只需一次登录即可访问多个相关网站。

4651 0

十个免费的 Web 压力测试工具（转）

WCAT 是多线程应用程序，并且支持从单个源控制多个负载测试客户端，因此您可以模拟数千个并发用户。...该实用工具利用您的旧机器作为测试客户端，其中每个测试客户端又可以产生多个虚拟客户端（最大数量取决于客户端机器的网络适配器和其他硬件）。...并且，如果测试方案需要，您还可以使用脚本执行的基本或 NTLM 身份验证来访问站点的受限部分。...（如果您的站点使用 cookie、表单或基于会话的身份验证，那您可以创建正确的 GET 或 POST 请求来对测试用户进行身份验证。）...WCAT 还可管理您站点可能设置的任何 cookie，所以配置文件和会话信息将永久保存。 3. fwptt – fwptt 也是一个用来进行WEB应用负载测试的工具。

7.4K3 0

十个免费的 Web 压力测试工具

7.2K6 0

HTTP概述

它是通过TCP或TLS加密的TCP连接发送的应用程序层协议，尽管理论上可以使用任何可靠的传输协议。...HTTP和连接Section 连接是在传输层进行控制的，因此基本上不在HTTP的范围之内。...HTTP / 1.0的默认行为是为每个HTTP请求/响应对打开一个单独的TCP连接。当多个请求连续发送时，这比共享单个TCP连接的效率低。...身份验证某些页面可能受到保护，因此只有特定用户才能访问它们。HTTP可以使用WWW-Authenticate和相似的标头提供基本身份验证，也可以使用HTTP cookie设置特定的会话。...使用HTTP cookie的会话允许您将请求与服务器状态链接起来。尽管基本HTTP是无状态协议，但这仍会创建会话。这不仅对电子商务购物篮有用，而且对任何允许用户配置输出的站点都有用。

8592 0

3 个 WordPress 插件中的高危漏洞影响了 84,000 个网站

被追踪为 CVE-2022-0215 的跨站请求伪造 ( CSRF ) 缺陷在 CVSS 规模上被评为 8.8，并影响Xootix维护的三个插件- 登录/注册弹出窗口（内联表单 + Woocommerce...）， Side Cart Woocommerce (Ajax) 和候补名单 Woocommerce（有库存通知）跨站点请求伪造，也称为一键式攻击或会话骑行，发生在经过身份验证的最终用户被攻击者欺骗提交特制的...登录/注册弹出窗口已安装在 20,000 多个站点上，而 Side Cart Woocommerce 和 Waitlist Woocommerce 已分别安装在 4,000 多个和 60,000 个站点上...一个多月后，攻击者利用四个插件和 15 个 Epsilon 框架主题中的弱点来针对 160 万个 WordPress 站点，作为源自 16,000 个 IP 地址的大规模攻击活动的一部分。...“尽管此跨站点请求伪造 (CSRF) 漏洞由于需要管理员交互而不太可能被利用，但它可能对成功利用的站点产生重大影响，因此，它是一个非常重要的提醒您在单击链接或附件时保持警惕，并确保您定期更新插件和主题，

1K3 0

打造安全的 React 应用，可以从这几点入手

这会导致损害应用程序的功能和用户数据。有两种跨站点脚本攻击类型：反射型 XSS——攻击者使用恶意链接和浏览器处理的一些 JS 代码来访问和操纵页面内容、cookie 和其他重要的用户数据。...要遵循的另一个基本规则是，对于每次新登录，你应该始终使用安全的服务器会话管理器创建一个新会话 ID。当你的 React 应用设置了基本的安全身份验证时，它有助于缓解 XSS 和损坏的身份验证问题。...很难跟踪所有可能的有害链接，因此一个好的做法是将已知站点列入白名单并阻止其他所有内容。 URL 验证有助于防止身份验证失败、XSS、任意代码执行和 SQL 注入。 4....每当文件以 zip 格式上传时，请务必在提取和使用文件之前重命名它们。将单个组件的所有文件一起存储在一个文件夹中，以便快速发现任何可疑文件。...但防止任何意外的最好方法是从序列化表单中省略机密数据。结尾在创建 React 应用程序时，你必须考虑许多潜在威胁。

1.8K5 0

《现代Javascript高级教程》详解前端数据存储

同站点标志（SameSite）：Cookie的同站点标志属性指定了是否限制Cookie只能在同一站点发送。...** 会话范围**：SessionStorage数据仅在浏览器会话期间保留，当用户关闭标签页或浏览器时数据将被清除。域和协议限制：SessionStorage数据只能在同一域和协议下访问。...表单数据保存：SessionStorage可用于保存用户填写的表单数据，以便在刷新页面或返回页面时恢复数据，防止数据丢失。...使用Cookie可以在客户端存储数据，适用于存储会话标识符、用户首选项和追踪用户行为等场景。 Session用于在服务器端存储和管理用户的会话状态，适用于身份验证、购物车和个性化设置等场景。...SessionStorage用于在浏览器会话期间存储临时数据，适用于传递数据、保存表单数据和单页应用状态管理等场景。

2903 0

【网络知识补习】❄️| 由浅入深了解HTTP（一）HTTP概述

此角色主要由 Web 浏览器执行；其他可能性是工程师和 Web 开发人员用来调试他们的应用程序的程序。浏览器始终是发起请求的实体。...HTTP 和连接连接是在传输层控制的，因此从根本上超出了 HTTP 的范围。虽然 HTTP 不要求底层传输协议是基于连接的；只要求它是可靠的，或者不丢失消息（因此至少会出现错误）。...HTTP/1.0 的默认行为是为每个 HTTP 请求/响应对打开单独的 TCP 连接。当多个请求连续发送时，这比共享单个 TCP 连接效率低。...基本身份验证可以由 HTTP 提供，或者使用WWW-Authenticate和类似的标头，或者通过使用HTTP cookie设置特定会话。...会话使用 HTTP cookie 允许您将请求与服务器的状态联系起来。尽管基本 HTTP 是无状态协议，但这会创建会话。这不仅适用于电子商务购物篮，而且适用于允许用户配置输出的任何站点。

8002 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云