关于跨站用户登录的问题- -
假设有站点 A 和 站点 B ,用户数据库在站点A中。如果要在A站登录的话A站自然会形成A站的Session和Cookie。现在我们要让用户在A站的友好站点B也能够登录。
在A站做一个程序,提供一项服务ServiceC,当有站点向ServiceC传来用户名和密码的时候,ServiceC返回用户验证信息(用户名和密码是否正确,如果正确,返回用户名以及其必要的信息)。然后,我们在B站的服务端产生一个post的动作,来向ServiceC发出请求,不久能在B站实现用户的异地登录了吗?
下面我们再来解决安全问题。
对于ServiceC来说,当然不是任何人向他发出请求他都回应,万一遇到有人冒充中间人欺骗怎么办?我们可以在ServiceC中采取一些安全措施,识别出来访者是不是B。
常见的“中间人欺骗”,就是本该在A和B之间传递的信息,现在被中间人M获取到了。M通过对网络的入侵得到了B向A发出的请求,然后再冒充B向A请求,A回应了M,M再把这个请求冒充A返回给B。这样,A和B就以为,就是他们两个之间在通讯,没有第三人的介入。所以,A和B就继续他们“正常”的通讯,而M则在一旁窃笑,因为A与B的通讯都被M悄悄记录下来了。
在同一个 VLAN 内,利用 ARP 破坏或 ARP 欺诈攻击,可以有效地欺骗终端站点或路由器识别伪造的设备标识,致使恶意用户能够以中间人的身份,发动中间人( MiM )攻击。
发动 MiM 攻击的方法是,在发送至受袭设备的 ARP 包中假冒另一台设备(例如默认网关),由于接收方不检查这些分组,因而其 ARP 表将接收假冒信息。
在这篇文章中介绍了中间人攻击的具体做法:《会话劫持攻击实战》
网址:http://www.juntuan.net/hkjc/xinshou/n/2005-04-30/4171.html
预防这种攻击有两种方法,一种方法是阻挡攻击者和受攻击设备之间的第二层直接通信,另一种方法是在网络中嵌入更多智能,使之能够检查转发 ARP 分组的标识是否正确。第一种方法可以通过 Cisco Catalyst 专用 VLAN 或专用 VLAN 边缘特性实现。第二种方法可以利用称为 ARP 检查的新特性实现,这种特性首先在 Cisco Catalyst 6500 Supervisor Engine II 上的 CatOS 7.5 中推出,以后将在 Cisco Catalyst 交换机的 Cisco IOS 软件中提供。
微软官方站点中是这样说的:
会话劫持
也称为中间人攻击,会话劫持欺骗服务器或者客户端接受:上游主机就是真正的合法主机。相反,上游主机是攻击者的主机,它操纵网络,这样攻击者的主机看上去就是期望的目的地。
帮助防止会话劫持的对策包括:
• 使用加密的会话协商。
• 使用加密的通信通道。
• 及时获取有关平台补丁的信息,修补 TCP/IP 缺陷,例如可预测的数据包序列。
Trackback
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=1856129
