Php 为什么要验证登录用户的IP地址和浏览器?
我正在努力完成一项安全任务,我们正在针对安全问题强化PHP应用程序。建议我们做的事情之一是“验证用户的IP地址和浏览器” 我可以看出您可能希望验证IP地址的几个原因:您可以检查用户是否正在使用其“主”IP地址,如果他们使用的是不常见的IP地址,可以向他们询问其他安全问题Php 为什么要验证登录用户的IP地址和浏览器?,php,security,Php,Security,我正在努力完成一项安全任务,我们正在针对安全问题强化PHP应用程序。建议我们做的事情之一是“验证用户的IP地址和浏览器” 我可以看出您可能希望验证IP地址的几个原因:您可以检查用户是否正在使用其“主”IP地址,如果他们使用的是不常见的IP地址,可以向他们询问其他安全问题 这就是它的基本要点吗?您还想对他们的IP和浏览器信息做些什么吗?验证用户IP和浏览器的主要思想与会话劫持攻击有关。以下威胁可以算作最常见的情况 攻击者可以做中间人(MITM)对抗客户端并获得会话密钥(Cookie)。这意味着攻
这就是它的基本要点吗?您还想对他们的IP和浏览器信息做些什么吗?验证用户IP和浏览器的主要思想与会话劫持攻击有关。以下威胁可以算作最常见的情况
- 您的应用程序可能容易受到跨站点脚本攻击。这意味着攻击者可以控制客户端的浏览器内容并执行任何Javascript代码。这意味着攻击者可以获取会话密钥(cookie)客户端
进一步信息[2]:常见的ip验证过程是检查它是否来自不常见的地理位置。例如,从美国登录的用户不能在5分钟内从南非登录。。。您还可以检查成熟的数据库,以说明IP欺骗,您可以有需要管理员验证IP才能用于登录的系统…一个警告是,公共wifi、移动设备上的用户以及通过代理访问您站点的用户通常可能来自完全不同的位置,即使在很短的时间内。您还存在来自一个IP(公共wifi、工作网络等)的多个用户的问题,这使得将cookie和会话信息绑定到特定IP是一个坏主意。用户代理字符串不可靠(很容易更改),但它有利于(诚实的)机器人和爬虫的特征检测和识别。我会更加关注在请求之间发生变化的IP/UA。这个问题似乎离题了,更适合在