超实用防护手册OWASP Cheat Sheet Series：会话管理和Cookie安全指南

超实用防护手册OWASP Cheat Sheet Series：会话管理和Cookie安全指南

【免费下载链接】CheatSheetSeriesThe OWASP Cheat Sheet Series was created to provide a concise collection of high value information on specific application security topics.项目地址: https://gitcode.com/gh_mirrors/ch/CheatSheetSeries

OWASP Cheat Sheet Series是一个开源项目，旨在提供特定应用安全主题的高价值信息集合。其中，会话管理和Cookie安全是Web应用安全的核心环节，直接关系到用户数据的保护和系统的安全性。本文将详细介绍OWASP Cheat Sheet Series中关于会话管理和Cookie安全的实用指南，帮助新手和普通用户理解并应用这些关键安全措施。

会话管理的重要性与基本流程

在Web应用中，会话是用户与应用之间一系列网络HTTP请求和响应事务的序列。现代复杂的Web应用需要在多个请求期间保留关于每个用户的信息或状态，因此会话提供了建立变量（如访问权限和本地化设置）的能力，这些变量将适用于用户在会话期间与Web应用的每一次交互。

会话ID（或令牌）将用户的身份验证凭据（以用户会话的形式）与用户的HTTP流量以及Web应用实施的适当访问控制绑定在一起。会话管理的复杂性以及其实现和绑定依赖于Web开发人员，使得实现安全的会话管理模块极具挑战性。

如上图所示，Web应用的安全架构中，会话管理处于身份验证和访问控制之间，是连接两者的关键环节。一旦身份验证会话建立，会话ID（或令牌）在临时情况下等同于应用使用的最强身份验证方法，如用户名和密码、密码短语、一次性密码（OTP）、基于客户端的数字证书、智能卡或生物识别（如指纹或视网膜）。

安全的会话ID属性

为了实现安全的会话ID，标识符（ID或令牌）的生成必须满足以下属性：

会话ID名称指纹保护

会话ID使用的名称不应具有极强的描述性，也不应提供有关ID用途和含义的不必要细节。大多数常见Web应用开发框架使用的会话ID名称很容易被识别，如PHPSESSID（PHP）、JSESSIONID（J2EE）等。因此，建议将Web开发框架的默认会话ID名称更改为通用名称，如id。

会话ID熵值

会话标识符必须至少具有64位的熵，以防止暴力会话猜测攻击。熵是指值中的随机量或不可预测性。必须使用强大的加密安全伪随机数生成器（CSPRNG）来生成会话ID，确保生成的值在所有可能值中均匀分布。

会话ID长度

会话ID的长度必须足够长，以编码足够的熵，防止攻击者猜测有效的会话ID。当使用十六进制编码时，会话ID必须至少为16个十六进制字符长才能实现所需的64位熵。需要注意的是，如果会话ID的任何部分是固定的或可预测的，有效熵会降低，可能需要增加长度来补偿。

会话ID内容（或值）

会话ID内容（或值）必须是无意义的，以防止信息泄露攻击。会话ID在客户端应仅仅是一个标识符，其值绝不能包含敏感信息或个人身份信息（PII）。与会话ID相关的含义和业务或应用逻辑必须存储在服务器端，特别是在会话对象或会话管理数据库或存储库中。

会话管理的实现

会话管理实现定义了用户和Web应用之间用于共享和持续交换会话ID的交换机制。HTTP中有多种机制可用于维护Web应用中的会话状态，如Cookie（标准HTTP头）、URL参数（URL重写）等。其中，Cookie是最广泛使用的会话ID交换机制之一，它提供了其他方法所不具备的高级功能。

内置会话管理实现

Web开发框架（如J2EE、ASP .NET、PHP等）提供了自己的会话管理功能和相关实现。建议使用这些内置框架，而不是从头构建自制的框架，因为它们在全球范围内的多个Web环境中使用，并且经过了Web应用安全和开发社区的长期测试。

传输层安全

为了保护会话ID交换免受网络流量中的主动窃听和被动泄露，必须为整个Web会话使用加密的HTTPS（TLS）连接，而不仅仅是在交换用户凭据的身份验证过程中。此外，必须使用SecureCookie属性，以确保仅通过加密通道交换会话ID。

Cookie安全属性

基于Cookie的会话ID交换机制以Cookie属性的形式提供了多种安全功能，可用于保护会话ID的交换：

Secure属性

SecureCookie属性指示Web浏览器仅通过加密的HTTPS（SSL/TLS）连接发送Cookie。这种会话保护机制对于防止通过中间人（MitM）攻击泄露会话ID是强制性的。

HttpOnly属性

HttpOnlyCookie属性指示Web浏览器不允许脚本（如JavaScript或VBscript）通过DOM document.cookie对象访问Cookie。这种会话ID保护对于防止通过XSS攻击窃取会话ID是强制性的。

SameSite属性

SameSite定义了一个Cookie属性，防止浏览器在跨站请求中发送带有SameSite标记的Cookie。其主要目标是减轻跨源信息泄露的风险，并提供对跨站请求伪造攻击的一些保护。

Domain和Path属性

DomainCookie属性指示Web浏览器仅将Cookie发送到指定的域和所有子域。PathCookie属性指示Web浏览器仅将Cookie发送到Web应用中指定的目录或子目录（或路径或资源）。建议为这两个属性使用狭窄或受限制的范围。

Expire和Max-Age属性

基于Cookie的会话管理机制可以使用两种类型的Cookie：非持久性（或会话）Cookie和持久性Cookie。通常，用于在身份验证后跟踪用户的会话管理功能使用非持久性Cookie，这会强制会话在关闭当前Web浏览器实例时从客户端消失。

会话ID生命周期管理

会话ID生成和验证：宽松和严格的会话管理

Web应用有两种会话管理机制：宽松和严格，与会话固定漏洞相关。宽松机制允许Web应用最初接受用户设置的任何会话ID值作为有效ID，并为其创建新会话；而严格机制强制Web应用仅接受Web应用先前生成的会话ID值。开发人员必须确保Web应用在某些情况下不使用宽松机制。

特权级别更改后更新会话ID

Web应用必须在关联用户会话内的任何特权级别更改后更新或重新生成会话ID。最常见的会话ID重新生成是在身份验证过程中，因为用户的特权级别从未经过身份验证（或匿名）状态更改为经过身份验证的状态。

会话过期

为了最大限度地减少攻击者发起针对活动会话的攻击并劫持它们的时间段，必须为每个会话设置过期超时，确定会话保持活动的时间量。Web应用的会话过期超时值必须根据Web应用的目的和性质进行设置，并平衡安全性和可用性。

会话过期包括自动会话过期（空闲超时、绝对超时、 renewal超时）和手动会话过期（提供注销按钮）。当会话过期时，Web应用必须采取主动操作使客户端和服务器端的会话无效，其中服务器端的操作从安全角度来看是最相关和强制性的。

总结

会话管理和Cookie安全是Web应用安全的关键组成部分。通过遵循OWASP Cheat Sheet Series中提供的指南，开发人员可以实现安全的会话管理机制，保护用户数据和系统免受会话劫持、会话固定等攻击。关键措施包括使用安全的会话ID属性、正确实现会话管理、利用Cookie的安全属性以及合理管理会话ID的生命周期。

OWASP Cheat Sheet Series的完整内容可在项目的cheatsheets目录中找到，其中包含了更多关于Web应用安全各个方面的详细指南和最佳实践。通过深入学习和应用这些资源，开发人员可以构建更安全、更可靠的Web应用。

【免费下载链接】CheatSheetSeriesThe OWASP Cheat Sheet Series was created to provide a concise collection of high value information on specific application security topics.项目地址: https://gitcode.com/gh_mirrors/ch/CheatSheetSeries