gpt4 book ai didi

php - 通过 session 安全访问 "Stay Loggedin"[仍然需要答案]

转载 作者:搜寻专家 更新时间:2023-10-31 21:26:00 26 4
gpt4 key购买 nike

我使用 $_SESSION 变量让用户登录。他们可以免受注入(inject)攻击吗?

如果您想查看我的脚本以检查漏洞,请点击这里:http://pastebin.com/raw/7iiSSjKP

感谢下面的用户,他们将我链接到:http://resources.infosecinstitute.com/session-hijacking-cheat-sheet/

看起来我的 session 存储与 InfoSec 网站的漏洞完全相同。是的,它很脆弱。 1

我测试过存储在浏览器上的 PHPSESSID cookie 是可利用的,如果我注入(inject)不同的用户 cookie,我将登录到那里的帐户,反之亦然。如果我留在 cookie 上,注销并登录到我自己的帐户,他们将登录到我的帐户。(底部消息和前 2 条消息是我其他的是我的 friend bean)2

我该如何解决这个问题?我已经阅读了很多,显然 SSL 证书可以解决这个问题,我确实有一个 SSL 证书,但它似乎没有任何改变。我该怎么做才能解决这个问题?!

我尝试过的方法:

  1. http://pastebin.com/raw/5skKhPSw (一开始似乎可以工作,而且工作很有意义,但如果您登录其他帐户,反之亦然,它就会到处乱七八糟,所以这不是一个很好的解决方案。
  2. 不知道任何其他方式。接受建议。

最佳答案

$_SESSION 通常用于登录,因此默认情况下它们相当安全,因为用户无法以某种方式设置 $_SESSION['username'] 重视自己;该值只能由您的服务器设置。

但是,$_SESSION仍然存在漏洞,更具体地说是 session 劫持,这是整个方案唯一真正的漏洞。


另外,在header("Location: http://gameshare.io");之后,你应该使用exit;

设置标题不会终止当前脚本。因此,如果您在此行之后输出敏感信息,它将被发送到客户端!您需要在设置 header 后显式退出。

关于php - 通过 session 安全访问 "Stay Loggedin"[仍然需要答案],我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36074981/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com