IBM Rational AppScan: атаки на Web-приложения через подделку маркеров (cookie poisoning)
В статье разъясняется, почему управление сеансами и обеспечение безопасности сеансов является сложной задачей, и почему в этой сфере обычно применяются коммерческие продукты. В статье описывается, как генерируются маркеры в двух механизмах, используемых в коммерческих серверах приложений. Автор анализирует сильные стороны каждого из механизмов, раскрывает их слабости и демонстрирует, как эти слабости могут быть использованы при атаках, направленных на фальсификацию персональной информации. Также рассматриваются вопросы осуществимости таких атак. Наконец, автор рекомендует подход к управлению сеансами, при котором средства обеспечения безопасности отделены от функциональности. Функциональность реализуется механизмом сервера приложений, а для обеспечения безопасности применяется отдельный продукт. ^MПолный текст статьи читайте на IBM developerWorks