Теория сессий и безопасности в веб-приложениях
Ключевые слова:
веб-приложение, управление сессиями, безопасность, перехват сессий, протокол HTTPS.Аннотация
В данной статье анализируются вопросы управления сессиями и безопасности в веб-приложениях. Веб-приложения контролируют доступ пользователей к системе посредством управления сессиями, но эти системы подвержены множеству уязвимостей. Такие уязвимости, как перехват и фиксация сессий, позволяют киберпреступникам получать несанкционированный доступ к учетным записям пользователей. В статье представлены меры безопасности, необходимые для обеспечения безопасности веб-приложений, включая протокол HTTPS, надежные идентификаторы сессий и ограничения по времени сессии. В статье также представлены современные тесты, методы и рекомендации по измерению безопасности сессий и оценке безопасности на высоком уровне. В статье обсуждается безопасность файлов cookie и сессий в веб-приложениях, а также технологии шифрования и протоколы безопасности для снижения риска их кражи. В статье приводятся важные рекомендации по улучшению управления сессиями и повышению безопасности веб-приложений.
Библиографические ссылки
1. B. Adida. Sessionlock: securing web sessions against eavesdropping. In Proceedings
of the 17th international conference on World Wide Web, pages 517–524, 2008.
2. Apache Software Foundation. Apache tomcat - migration guide - tomcat 7.0.x.
Online at http: // tomcat. apache. org/ migration-7. html , 2012.
3. A. Barth, C. Jackson, and J. C. Mitchell. Robust defenses for cross-site request
forgery. In Proceedings of the 15th ACM conference on Computer and communications security, pages 75–88, 2008.
4. E. Butler. Firesheep. Online at http: // codebutler. com/ firesheep , 2010.
5. I. Dacosta, S. Chakradeo, M. Ahamad, and P. Traynor. One-time cookies: Preventing session hijacking attacks with stateless authentication tokens. ACM Transactions on Internet Technology (TOIT), 12(1):1, 2012.
6. M. Dietz, A. Czeskis, D. Balfanz, and D. S. Wallach. Origin-Bound Certificates
: A Fresh Approach to Strong Client Authentication for the Web. In Proc. 21st
USENIX Security Symposium, 2012.
7. P. Hallam-Baker. Http integrity header. Online at http: // tools. ietf. org/
html/ draft-hallambaker-httpintegrity-02 , 2012.
8. E. Hughes. An encrypted key transmission protocol. rump session of CRYPTO,
94, 1994.
9. G. Inc. Federated login for google account users. Online at https: // developers.
google. com/ accounts/ docs/ OpenID , 2013.
10. C. Jackson and A. Barth. Forcehttps: Protecting High-SecurityWeb Sites from
Network Attacks. In Proceeding of the 17th international conference on World
Wide Web, pages 525—-534, Apr. 2008.
11. M. Johns, S. Lekies, B. Braun, and B. Flesch. BetterAuth: Web Authentication
Revisited. In Proceedings of the 28th Annual Computer Security Applications Conference, pages 169—-178, Dec. 2012.
12. A. Langley, N. Modadugu, and W. Chang. Overclocking ssl. In Velocity: Web
Performance and Operations Conference, 2010.
13. N. Nikiforakis, W. Meert, Y. Younan, M. Johns, and W. Joosen. Sessionshield:
lightweight protection against session hijacking. Engineering Secure Software and
Systems, pages 87–100, 2011.
14. D. Recordon and B. Fitzpatrick. OpenID authentication 2.0. pages 1–35, 2007.
15. I. Ristic. Internet ssl survey 2010. Talk at BlackHat, 2010
16. Abdullaev I. H., Anarbaevna E. K. The Role of Computers in Modern Education //Journal of science, research and teaching. – 2024. – Т. 3. – №. 2. – С. 51-53.
Загрузки
Опубликован
Как цитировать
Выпуск
Раздел
Категории
Лицензия
Copyright (c) 2026 Илхом Абдуллаев, Нурмуродова Джасмина
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.
This work is licensed under a Creative Commons Attribution 4.0 International License (CC BY 4.0). Authors retain copyright and grant the journal the right to first publication. The license permits others to share, adapt, and build upon the work as long as appropriate credit is given to the original author(s) and the source.