Php “安全到达”的方法;保持Loggedin“;有会话[仍然需要答案]
我使用$\u SESSION变量让用户登录。他们注射后安全吗 如果您希望查看我的脚本以检查漏洞,请执行以下操作: 感谢下面的一位用户,他们将我链接到: 看起来我的会话与InfoSec网站的漏洞完全相同。是的,它是脆弱的 我进行了测试,并且浏览器上存储的PHPSESSID cookie是可利用的,如果我注入不同的用户cookie,我将登录到那里的帐户,反之亦然。如果我留在那里,注销并登录到我自己的帐户,他们将登录到我的帐户。 (下面的msg和上面的2个msg是我的,其他的是我的朋友bean) 我怎样才能解决这个问题? 我读了很多书,很明显SSL证书解决了这个问题,我有一个SSL证书,但它似乎没有改变任何事情。我该怎么解决这个问题 我尝试过的方法:Php “安全到达”的方法;保持Loggedin“;有会话[仍然需要答案],php,session,cookies,session-variables,session-cookies,Php,Session,Cookies,Session Variables,Session Cookies,我使用$\u SESSION变量让用户登录。他们注射后安全吗 如果您希望查看我的脚本以检查漏洞,请执行以下操作: 感谢下面的一位用户,他们将我链接到: 看起来我的会话与InfoSec网站的漏洞完全相同。是的,它是脆弱的 我进行了测试,并且浏览器上存储的PHPSESSID cookie是可利用的,如果我注入不同的用户cookie,我将登录到那里的帐户,反之亦然。如果我留在那里,注销并登录到我自己的帐户,他们将登录到我的帐户。 (下面的msg和上面的2个msg是我的,其他的是我的朋友bean) 我怎
$\u SESSION$\u SESSION['username']$\u SESSION另外,在
标题(“位置:http://gameshare.io”;exit;设置标题不会终止当前脚本。因此,如果您在这一行之后输出敏感信息,它将被发送到客户端!设置标题后您需要显式退出。感谢您提供的信息,您可以向我解释会话劫持吗?@ShinyMK对此进行了简要介绍休息。从我对cookies的理解来看,你可以直接用Cookie注入器复制并粘贴cookies,对吗?然后用户刷新并快速登录?是的,我是有点对。这里有擅长此的人可以检查我的网站吗:看看它是否有漏洞吗?我不相信XSS有漏洞,因为我的主机阻止了它。哦,我也是ap在页眉()后面加上“退出;”感谢您。使用cookie不应该有任何问题。cookie注入中的漏洞依赖于用户是否愚蠢到允许他人使用cookiecookie@iJamesPHP我知道,但肯定有办法保护你的网站不受用户及其细节的影响。哟你可以建立一个数据库,用用户的ip记录cookie id,如果登录cookie的ip不同,请他们记录in@iJamesPHP是的,但这几乎从来都不是有效的。你是说没有任何网站可以防范这种情况吗?仍然需要一个关于这一点的答案。如果有人能在某种程度上提供帮助,我们将不胜感激。