有自己的网站可以认证吗？
要网站排名比较靠前的，如果对您有帮助，给我的答案一个好评哦，亲，谢谢（请进入应用“微问”里查看自己提出的问题并给出好评）
或者手机认证
网站认证是指第三方权威机构对互联网网站进行的网站身份及相关信息认证。根据认证内容及认证方式的不同，网站认证分为官网认证、安全认证、资质认证、行业认证等等，认证目...
去企业蓝V页面按照要求申请
不可以,,,,,,,,
网站经过认证会提高自己的信誉度，对自己品牌有提升作用
提交需要的材料之后就可以
答: 推荐下，我在金牛云服这个平台上购买过他们的云虚拟主机，价格非常便宜，2G的云虚拟主机才几十块钱一年呢，有需要的朋友可以了解下，搜索下他们看看，看产品是否合适你们...
答: 它在电缆电视的基础上，将分配网络的主干部分改为光缆，在各个服务节点处完成光电转换，再由同轴电缆将传输信号送到用户家里，可有效地实现Internet访问、电视点播...
答: 七十年代的计算机网络
X.25 分组交换网：各国的电信部门建设运行
各种专用的网络体系结构：SNA，DNA
Internet 的前身ARPANET进行实验运行
大家还关注
Copyright &
Corporation, All Rights Reserved
确定举报此问题
举报原因(必选)：
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告，这不是个问题
报告原因(必选)：
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区
相关问答：123456789101112131415比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
浅谈网站失效的认证和会话管理
关键字：会话管理 认证 网站失效
　　根据最新的OWASP TOP 10显示应用程序的失效身份认证和会话管理位列10大Web漏洞中的第三位。这意味着它是一个高度危险的漏洞存在于上的多数网站的应用程序中。
　　身份认证和会话管理：
　　在进一步解释这种危险的漏洞之前，让我们了解一下身份认证和会话管理的基本知识。身份认证，最常见的是登录功能，往往是提交用户名和密码，在性要求更高的情况下，有防止密码暴力破解的验证码，基于客户端的证书，物理口令卡等等。
　　会话管理，HTTP本身是无状态的，利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌，通常放在cookie中，之后对用户身份的识别根据这个授权的令牌进行识别，而不需要每次都要登陆。
　　什么是失效的身份认证和会话管理？
　　用户身份认证和会话管理是一个应用程序中最关键的过程，有缺陷的设计会严重破坏这个过程。在开发Web应用程序时，开发人员往往只关注Web应用程序所需的功能。由于这个原因，开发人员通常会建立自定义的认证和会话管理。但要正确实现这些方案却很难，结果这些自定义的方案往往在如下方面存在漏洞：退出、密码管理、超时、记住我、秘密问题、帐户更新等等。因为每一个实现都不同，要找出这些漏洞有时会很困难。
　　一些存在此漏洞的例子：
　　1、用户更改密码之前不验证用户，而是依靠会话的IP地址;
　　2、没有会话超时限制;
　　3、用户忘记密码后，密码找回功能太过简单。
　　4、。。。
　　例1：应用程序超时设置不当。用户使用公共计算机访问网站。离开时，该用户没有点击退出，而是直接关闭。攻击者在一个小时后能使用相同浏览器通过身份认证。
　　例2：机票预订应用程序支持URL重写，把会话ID放在URL里：http://example.com/sale/jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
　　该网站一个经过认证的用户希望让他朋友知道这个机票打折。他将上面链接通过邮件发给他朋友们，并不知道自己已经泄漏了自己的会话ID。当他的朋友们使用上面的链接时，他们将会使用他的会话和信用卡。
　　例3：内部或外部攻击者进入系统的密码.在数据库中的用户密码没有被加密, 所有用户的密码都被攻击者获得。
　　如何验证程序是否存在失效的认证和会话管理？
　　最需要要保护的是认证凭证(credentials) 和会话ID。
　　1.当存储认证凭证时，是否总是使用hashing或加密保护吗?
　　2. 认证凭证是否可猜测，或者能够通过薄弱的的帐户管理功能
　　(例如账户创建、密码修改、密码恢复, 弱会话ID)重写？
　　3.会话ID是否暴露在URL里(例如, URL重写) ？
　　4.会话ID是否容易受到会话固定( fixation) 的攻击?
　　5.会话ID会超时吗? 用户能退出吗?
　　6.成功注册后,会话ID会轮转吗?
　　7. 密码、会话ID和其他认证凭据是否只通过TLS连接传输？
　　如何防范：
　　1、区分公共区域和受限区域
　　站点的公共区域允许任何用户进行匿名访问。受限区域只能接受特定用户的访问，而且用户必须通过站点的身份验证。考虑一个典型的零售网站。您可以匿名浏览产品分类。当您向购物车中添加物品时，应用程序将使用会话标识符验证您的身份。最后，当您下订单时，即可执行安全的交易。这需要您进行登录，以便通过 验证交易。
　　将站点分割为公共访问区域和受限访问区域，可以在该站点的不同区域使用不同的身份验证和授权规则，从而限制对 SSL 的使用。使用SSL 会导致性能下降，为了避免不必要的系统开销，在设计站点时，应该在要求验证访问的区域限制使用 SSL。
　　2、对最终用户帐户使用帐户锁定策略
　　当最终用户帐户几次登录尝试失败后，可以禁用该帐户或将事件写入日志。如果使用 Windows 验证(如 NTLM 或Kerberos协议)，可以自动配置并应用这些策略。如果使用表单验证，则这些策略是应用程序应该完成的任务，必须在设计阶段将这些策略合并到应用程序中。
　　请注意，帐户锁定策略不能用于抵制服务攻击。例如，应该使用自定义帐户名替代已知的默认服务帐户(如IUSR_MACHINENAME)，以防止获得 Internet 信息服务 ()名称的攻击者锁定这一重要帐户。
　　3、支持密码有效期
　　密码不应固定不变，而应作为常规密码维护的一部分，通过设置密码有效期对密码进行更改。在应用程序设计阶段，应该考虑提供这种类型的功能。
　　4、能够禁用帐户
　　如果在系统受到威胁时使凭证失效或禁用帐户，则可以避免遭受进一步的攻击。5、不要在用户存储中存储密码
　　如果必须验证密码，则没有必要实际存储密码。相反，可以存储一个单向哈希值，然后使用用户所提供的密码重新计算哈希值。为减少对用户存储的词典攻击威胁，可以使用强密码，并将随机salt 值与该密码结合使用。
　　6、要求使用强密码
　　不要使攻击者能轻松破解密码。有很多可用的密码编制指南，但通常的做法是要求输入至少 8位字符，其中要包含大写字母、小写字母、数字和特殊字符。无论是使用平台实施密码验证还是开发自己的验证策略，此步骤在对付粗暴攻击时都是必需的。在粗暴攻击中，攻击者试图通过系统的试错法来破解密码。使用常规表达式协助强密码验证。
　　7、不要在上以纯文本形式发送密码
　　以纯文本形式在网络上发送的密码容易被窃听。为了解决这一问题，应确保通道的安全，例如，使用 SSL 对数据流加密。
　　8、保护身份验证 Cookie
　　身份验证 cookie被窃取意味着登录被窃取。可以通过加密和安全的通信通道来保护验证票证。另外，还应限制验证票证的有效期，以防止因重复攻击导致的欺骗威胁。在重复攻击中，攻击者可以捕获cookie，并使用它来非法访问您的站点。减少 cookie 超时时间虽然不能阻止重复攻击，但确实能限制攻击者利用窃取的 cookie来访问站点的时间。
　　9、使用 SSL 保护会话身份验证 Cookie
　　不要通过 HTTP 连接传递身份验证 cookie。在授权 cookie 内设置安全的 cookie 属性，以便指示浏览器只通过HTTPS 连接向传回 cookie。有关详细信息，请参阅 10：构建安全的 ASP.NET 网页和控件。
　　10、对身份验证 cookie 的内容进行加密
　　即使使用 SSL，也要对 cookie 内容进行加密。如果攻击者试图利用 XSS 攻击窃取cookie，这种方法可以防止攻击者查看和修改该 cookie。在这种情况下，攻击者仍然可以使用 cookie 访问应用程序，但只有当cookie 有效时，才能访问成功。
　　11、限制会话寿命
　　缩短会话寿命可以降低会话劫持和重复攻击的风险。会话寿命越短，攻击者捕获会话 cookie并利用它访问应用程序的时间越有限。
　　12、避免未经授权访问会话状态
　　考虑会话状态的存储方式。为获得最佳性能，可以将会话状态存储在 Web 应用程序的进程地址空间。然而这种方法在 Web场方案中的可伸缩性和都很有限，来自同一用户的请求不能保证由同一台服务器处理。在这种情况下，需要在专用状态服务器上进行进程外状态存储，或者在共享数据库中进行永久性状态存储。ASP.NET支持所有这三种存储方式。
　　对于从 Web 应用程序到状态存储之间的网络连接，应使用 IPSec 或 SSL 确保其安全，以降低被窃听的危险。另外，还需考虑Web 应用程序如何通过状态存储的身份验证。
　　在可能的地方使用 Windows验证，以避免通过网络传递纯文本身份验证凭据，并可利用安全的 Windows 帐户策略带来的好处。
[ 责任编辑：babycorn ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte目前有几大网站认证_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
目前有几大网站认证
&&电子商务是未来主流商务发展趋势,诚信经营、信息平等、监督认证是重要的。
这里是目前权威的几大网络认证方式,供大家了解参考。
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
还剩9页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢