美文网首页
安全审计产品知识分享 - DB Session 与 Web Se

安全审计产品知识分享 - DB Session 与 Web Se

作者: TMC_Lee | 来源:发表于2019-06-19 17:17 被阅读0次

    安全审计产品知识分享 - DB Session 与 Web Session

    [toc]

    1. Why - 为什么审计产品需要关注会话

    一个安全审计产品是否能有效的呈现给客户,需要遵从数据--信息--报告的路线。 数据就是从网络封包或者服务器进程/内存内捕获到的数据,但是如何有效的把这些数据串联起来,其中一个很重要的就是需要依靠Session来串联起来,形成有效的信息:什么人-在什么时间-在什么地方-对什么数据-进行了什么操作。因此可以说,基本上没有Session, 一个审计产品甚至连第二步-信息 都不能有效的构建起来。

    2. What - Session(会话)是什么

    如果去检索百度或者其他技术文章,有可能会给出很抽象的定义。 简单来说Session是一种访问凭证。打个比方,今天你要去美联储的黄金存储地窖,你直接跑到地窖门口说你是特兰普他爹也没用,不会放你进去,所以你得跑到安保部证明你有权利进去,然后收到一张通行证,拿这张通行证到地窖大门前“滴”一声大门就开了。

    那么这张通行证就是你进入美联储黄金地窖的Session,你在地窖里面摸了多少次黄金,舔了多少块金砖,系统到时候拿你的通行证(Session)一刷全部列出来了。

    image.png

    这就是Session的意义。一个人在某个敏感的系统上,在什么时间做了什么操作,背后都需要通过Sessin的技术来串起来,形成一条条有用的Information。

    3. How - 安全审计产品需要关注的Session及其来源

    本章节阐述了DB Session和Web Session的数据来源。

    updated on 2018-12-24 16:39:07

    3.3.1 数据库会话描述 (DB Session )

    不考虑connection pool的情况 一条DB Session的过程可以描述为如下:

    1. 使用pl/sql client login到DB instance中去( Session login);
    2. 执行select, update, delete, store procedure等操作;
    3. 关闭pl/sql client (Session logout)。

    小结:1-3这个过程 就是DB Session的一个生命周期(life-cycle),对应会在SQL会话详情list页面产生一条Session报表。点击这个Session报表的详情页面链接,就可以看到上述2的具体操作(select, update, delete, store procedure等操作)。

    3.3.2 应用会话描述-不使用连接池技术(Web Session without Connection Pool)

    Web Session

    1. user使用 帐号和密码成功登录web system(Web Session login)
    2. user在web system上做很多业务操作
    3. user 签退出web system (Web session logout)

    小结:1-3是一条Web session的 life-cycle.

    3.3.3 应用会话中-数据库会话-不使用连接池

    本质上是没相关联关系,只有时间关系的。

    1. user使用 帐号和密码成功登录web system(Web Session login)
    2. user在web system上做很多业务操作

    2.1 user query一张报表
    2.2 web system调用凭证向DB请求数据
    2.3 数据库验证凭证登录( DB Session login )
    2.4 登录成功,则DB开始查询数据,返回tuple数据
    2.5 Web获得数据,调用db.close()接口(DB Session logout)
    2.6 Web展示出数据

    1. user 签退出web system (Web session logout)

    小结:上述的 2.3 -2.5 DB Session产生的过程。需要注意的是,这里为了简化描述,只描述了一种状况。如果用户不仅查询了报表,还查询了用户个人信息等操作,这时候会产生多条DB Session的记录(而这段时间内,该用户产生的Web Session只有一条)。

    3.3.4 应用会话中-数据库会话-使用连接池

    根据1.2.4.3 小结描述,用户如果在登录上Web系统后,通常需要操作上百条甚至更多的数据查询记录,这时候数据库需要不断的被打开,操作完又马上被关闭,由于打开和关系的操作过程需要不断的占用系统的资源,为了简约这种资源损耗,连接池(connection pool)技术就在这种需求背景下诞生了。

    1. user使用 帐号和密码成功登录web system(Web Session login)
    2. user在web system上做很多业务操作

    2.1 user query一张报表
    2.2 web system调用凭证向DB请求数据
    2.3 数据库登录注册( reg user login )
    2.4 验证通过,Connection Pool下指令给DB查询数据
    2.5 数据返回tuple数据
    2.5 Web获得数据
    2.7 Web展示出数据
    2.8 User query一个用户信息
    重复 2.4 --2.7的过程

    1. user 签退出web system (Web session logout)

    小结:这时候的最大的不同是Web系统不再有能力主动开启和关闭数据库连接,这个动作全权交给了Connection Pool来管理。因此不论用户请求多少次,都可能只有一条DB Session去查询数据。

    相关文章

      网友评论

          本文标题:安全审计产品知识分享 - DB Session 与 Web Se

          本文链接:https://www.haomeiwen.com/subject/sgakqctx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|安全审计产品知识分享 - DB Session 与 Web Se|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!