بخشی از پاورپوینت
--- پاورپوینت شامل تصاویر میباشد ----
اسلاید 1 :
مديريت جلسات
.1جلسه يا نشست چيست؟
.2شناسه جلسه(session id) چيست؟
.3حملات ناشي ا ز مديت ناامن جلسات
.1سرقت نشست(session hijacking)
.2تثبيت نشست(session fixation)
اسلاید 2 :
آسيب پذيري هاي منجر به سرقت نشست
XSS (A2)
ايجاد ارتباطات ناامن
Insufficient Transport Layer Protection (A10)
پيكربندي ناامن
Security Misconfiguration (A6)
شناسه نشست ضعيف و قابل پيش بيني
Weakness in Session ID Generation
اسلاید 3 :
Index.php
<form method="post" action="session-fixation.php“>
username: <input name=username type=text ><br/>
password:<input name=password type=password><br />
<input type=submit name=submit >
</form>
اسلاید 4 :
Session-fixation.php
<?php
session_save_path("tmp”);
session_start();
if( !$_SESSION['Login‘])
{ //session_rigenerate_id();
$username=$_POST['username’];
$password=$_POST['password’];
}
if($username== 'ali' && $password == 'alavi‘)
{
$_SESSION[‘login’]=TRUE;
echo "<h2 align=\"center\">Successfull authentication</h2>”;
echo "Menu1<br>”;
echo "<a href=\"logout.php\">logout</a>”;
}
……
?>
اسلاید 5 :
Logout.php
<?php
session_destroy();
//setcookie(session_name(), '', time()-42000,’’);
header("location:http://web2.um.ac.ir/index.php”);
?>
اسلاید 6 :
احراز هويت
جلوگيري از حملات sql injection
استفاده از تصاوير امنيتي
محدود كردن تعداد دفعات لاگين ناموفق و ثبت آن
جلوگيري از حملات تثبيت نشست
استفاده از ارتباطات كد شده جهت جلوگيري از سرقت اطلاعات
دخيره كلمات عبور به صورت كد شده در جداول پايگاه داده
حذف امكان ذخيره كلمه عبور در مرورگر
تدبير لازم در استفاده از امكان بازيابي كلمه عبور
