cookie警惕篡改
发布时间:2022-04-30 10:41:20 所属栏目:安全 来源:互联网
导读:除了session外,一般不会在客户端的cookies里保存过于重要的凭据,但电商应用有时候不可避免地存储了一些敏感数据到客户端,当然不希望被篡改。 目的: 让服务器端能识别cookie值被篡改了。 手法: set-cookie时加上防篡改验证码。 Lightweight Third-Party
|
除了session外,一般不会在客户端的cookies里保存过于重要的凭据,但电商应用有时候不可避免地存储了一些敏感数据到客户端,当然不希望被篡改。 目的: 让服务器端能识别cookie值被篡改了。 手法: set-cookie时加上防篡改验证码。 Lightweight Third-Party Authentication (LTPA)是IBM Websphere和Domino产品中使用的单点登录技术。 当服务器配置好LTPA认证方式,用户通过浏览器成功登录后,服务器会自动发送一个session cookie给浏览器;此Cookie中包含一个LTPA Token。 一个有效的LTPA Cookie能够在同一个认证域中被所有服务器自动认证。此Cookie中包含认证信息和时间戳。这些信息通过共享的3DES Key进行了bis 加密。使用公共密钥/私有密钥进行签名。 1)大致介绍: LTPA Cookie原始值通过3DES密钥,使用DESede/ECB/PKCS5P进行加密。 此3DES密钥也是采用DESede/ECB/PKCS5P进行加密,加密后再使用事先提供的密钥密码 进行SHA-1 Hash,生成24个字节的密钥,再进行Base64编码。 如Dmonio里,LTPA Cookie值为以下公式组成: SHA-1=LTPA版本号+创建时间+过期时间+用户名+Domino LTPA 密钥 LTPA Cookie= Base64(LTPA版本号+创建时间+过期时间+用户名+SHA-1) 如要解析LTPA Token,先得使用密钥密码 ,生成3DES密钥;再使用3DES密钥 解密 Token Cookie。也可以使用公共/私有密钥来签名或验证LTPA Cookie。 2)WebSphere LTPA 生成原理 首先,这个 cookie 由以下部分组成,以%进行分隔: 用户信息 ,格式为u:user:<RealmName>/<UserDN>,如:u:user:VGOLiveRealm/CN=squallzhong,O=VGOLive Technology (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐