gpt4 book ai didi

php - session 劫持在 PHP 中究竟是如何工作的?

转载 作者:IT王子 更新时间:2023-10-28 23:50:09 26 4
gpt4 key购买 nike

我创建了一个具有注册/登录功能的网站。我可以在 Chrome 的开发人员工具中看到 PHPSESSID cookie,所以我想知道如何使用这个 session id 值来劫持我登录的帐户,假设是不同的浏览器,为了简单起见?

安全网站是否应该能够确定此 session 被劫持并阻止它?

另外,为什么其他使用 PHP 的大型网站(例如 Facebook)没有 PHPSESSID cookie?他们是否给它起了一个不同的名字来表示默默无闻,或者他们只是完全使用了不同的机制?

最佳答案

很多好问题,感谢您提出这些问题。

首先.. session 只是一个 cookie。 “ session ”不是 HTTP 堆栈的一部分。 PHP 恰好提供了一些便利,使使用 cookie 变得容易,从而引入了 session 。 PHP 选择 PHPSESSID 作为 cookie 的默认名称,但您可以选择任何您想要的名称。即使在 PHP 中,您也可以更改 session_name。

攻击者所要做的就是获取您正在查看的 session cookie,并在其自己的浏览器中使用它。攻击者可以使用自动化脚本或例如使用 Firebug 来做到这一点,您只需更改当前的 cookie 值即可。

所以是的,如果我有你的 ID.. 如果你不采取任何措施来阻止它,我可以窃取你的 session 。

但是.. 对于攻击者来说最难的部分是首先获得 cookie。攻击者无法真正做到这一点,除非:

  • 他们可以访问您的计算机
  • 他们能够以某种方式窥探您的网络流量。

第一部分很难解决。您可以使用一些技巧来识别启动 session 的计算机(检查用户代理是否更改,检查 ip 地址是否更改),但不是防水的或不是这样的很好的解决方案。

您可以通过确保所有流量都使用 HTTPS 加密来解决第二个问题。没有理由不使用 HTTPS。如果您的网站上有“登录”区域,请务必使用 SSL!!

我希望这样可以回答您的问题。我现在想到的其他一些建议:

  • 每当用户登录时,给他们一个新的 session ID
  • 每当用户注销时,也给他们一个新的 session ID!
  • 确保浏览器在任何情况下都无法确定 session cookie 的值。如果您不认识该 cookie,请重新生成一个新的!

关于php - session 劫持在 PHP 中究竟是如何工作的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11819811/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com