Php 劫持会话发生在远程计算机上?
我是新来的。我读了很多文章,但有些东西我不懂。要劫持会话,攻击者是否必须与受害者登录在同一台计算机上 我的意思是,就像进了图书馆,你忘了注销 或者没有这个就可以进行劫持?假设Php 劫持会话发生在远程计算机上?,php,session,Php,Session,我是新来的。我读了很多文章,但有些东西我不懂。要劫持会话,攻击者是否必须与受害者登录在同一台计算机上 我的意思是,就像进了图书馆,你忘了注销 或者没有这个就可以进行劫持?假设 攻击者未危害客户端或服务器计算机,并且 未侦听(客户端本地、服务器本地或internet核心路由器上),或者连接已充分加密 会话令牌具有足够的随机性(您可以为php的内置会话机制假设这一点) 您的网站没有安全漏洞或漏洞 。。。劫持会话的唯一方法实际上是实际使用受害者以前使用的浏览器。您可以使用配置选项配置会话的生存期。
- 攻击者未危害客户端或服务器计算机,并且
- 未侦听(客户端本地、服务器本地或internet核心路由器上),或者连接已充分加密
- 会话令牌具有足够的随机性(您可以为php的内置会话机制假设这一点)
- 您的网站没有安全漏洞或漏洞
。。。劫持会话的唯一方法实际上是实际使用受害者以前使用的浏览器。您可以使用配置选项配置会话的生存期。默认设置(
0
)建议浏览器在关闭浏览器后立即使会话无效。可以通过多种方式进行设置
如果您加密您的连接或会话cookie,并且在用户登录时存储其ip/浏览器,然后检查请求的ip是否匹配,则可以防止某些危险。会话存储在服务器上,并通过会话ID访问,这是一个浏览器cookie。
劫持会话的人所要做的就是使用其他人正在使用的会话ID。换言之,将他们的会话cookie更改为其他人的会话cookie。良好阅读的可能副本:谢谢你,因为我在登录时阅读存储IP并检查每个页面上的IP是否可靠。这应该在php.ini中吗?@Gaourokelos是的,你可以在
php.ini
中设置此选项,但也可以在.htaccess
或脚本本身中(通过)。请注意,默认值(会话cookie)是一个好值。