【发布时间】:2012-03-08 04:56:35
【问题描述】:
目前我正在处理实施一切是为了防止Top 10 Project的安全风险
对于前 10 名中的第 4 名 - Insecure Direct Object References,OWASP 指的是 OWASP Application Security Verification Standard
所以我正在阅读V3 中的所有内容,但我现在对实现它有一些疑问。
我正在使用 JBoss-AS 7.0.1 和 Java EE6 和 JSF 2.0
V3.4 验证会话 id 除了在 cookie 标头中之外从未公开;特别是在 URL、错误消息或日志中。这包括验证应用程序不支持会话 cookie 的 URL 重写。
我在这里阅读了一些关于 stackoverflow 的文章,如何避免用户第一次访问端时 jesssion 在 URL 中......
但是很多答案是这样的:使用 URL 重写......这与does not support URL rewriting of session cookies 相比意味着什么
在第一个条目上处理 jsessions 的正常方法是什么?有什么保存方法来处理?
V3.10:验证只有应用程序框架生成的会话 ID 被应用程序识别为有效。
您如何在 JSF2.0/JavaEE 中做到这一点?
V3.12:验证包含经过身份验证的会话令牌/ID 的 cookie 是否将其域和路径设置为该站点的适当限制值。
这是什么意思?当我用 Firebug 查看 cookie 时,我从 URL http://localhost:8080/projectname/ 运行 web 应用程序
在 cookie 中我得到:路径:/projectname
这就是 OWASP 对 have their domain and path set to an appropriately restrictive value for that site. 的含义吗?
谢谢!
【问题讨论】:
标签: security jsf-2 java-ee-6 jboss7.x owasp