Ist es sicher, eine Sitzung in PHP zu verwenden?

Ist

Sitzungsicher in PHP? PHP stellt uns nur eine Sitzungsimplementierung zur Verfügung, die von Programmierern eine flexible Beherrschung erfordert. Freunde, die die Sitzungssicherheit in PHP verstehen müssen, können sich auf

beziehen Ich habe mich schon so lange auf Sicherheitsthemen konzentriert. Kürzlich habe ich einen Artikel über Sicherheit im Internet gesehen Also habe ich ein Projekt ausgewählt, es getestet und festgestellt, dass es leicht zu erwischen war. Hier werde ich ein Testbeispiel teilen, das ich geschrieben habe, um zu veranschaulichen, wie unsicher die Sitzung in PHP ist und wie man ihre Sicherheit im Projekt stärken kann.
Was das Prinzip und den Mechanismus der Sitzung betrifft, gibt es im Internet viele gute Artikel, die es vorstellen, und wir können es selbst überprüfen. Lassen Sie uns Beispiele zum direkten Testen teilen.
Das Beispiel dieses Tests ist hauptsächlich eine Anmeldeseite. Nach erfolgreicher Anmeldung können Sie das Passwort ändern.
Die Schnittstelle ist wie folgt

Verwenden Sie zunächst die Funktion session_start() am Projekteingang, um die Sitzung zu öffnen. Auf diese Weise wird, wenn der Client eine Anfrage initiiert, eine Identitätskennung, nämlich SessionID, generiert. Sie wird über Cookie auf dem Client gespeichert. Jede Kommunikation zwischen dem Client und dem Server ist zur Identifizierung auf diese SessionID angewiesen. Nach erfolgreicher Anmeldung werden die Benutzer-ID und der Benutzername in der Sitzung gespeichert.

$_SESSION[‘userid'] = 用户id
$_SESSION[‘uname'] = 用户名

Bei allen nachfolgenden Vorgängen wird überprüft, ob der Benutzer angemeldet ist, indem beurteilt wird, ob $_SESSION['userid'] vorhanden ist . Der Code lautet wie folgt:

if(isset($_SESSION['userid'])) return true;

Der Aufruf der Passwortänderungsschnittstelle überträgt Daten per Ajax-Post an den Server.

$.post("接口*******",
  {
     oldpass:oldpass,
     newpass:newpass,
     userid:uid,
  },
  function(data){
     data = eval('(' +data+ ')');
     $('.grant_info').html(infos[data.info]).show();
  }
);

Beachten Sie, dass ich diesen Code auf der HTML-Seite geschrieben habe. Wenn Sie also den HTML-Code sehen, kennen Sie die Schnittstellenadresse.

Die Schnittstelle zum Ändern des Passworts wird auf diese Weise implementiert. Zunächst wird beurteilt, ob der Benutzer angemeldet ist. Wenn der Benutzer angemeldet ist, wird der Passwortänderungsvorgang durchgeführt.
Die Implementierungsidee des Testbeispiels entspricht in etwa der oben beschriebenen.

SessionID-Angriff verwenden
1. Die erste besteht darin, die SessionID zu erhalten. Aufgrund meines begrenzten Levels werde ich nicht vorstellen, wie um es hier zu erhalten. Wir können es simulieren, indem wir zuerst normal auf dieses Projekt zugreifen und dann die SessionID über den Browser überprüfen, um eine legale Benutzer-ID zu erhalten. Sie können diese ID im Anforderungsheader

 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: Hm_lvt_bf1154ec41057869fceed66e9b3af5e7=1450428827,1450678226,1450851291,1450851486; PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7;
Host: ******
Referer: ******
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0

sehen. Wenn sich der

Benutzer nach Erhalt der Sitzungs-ID erfolgreich anmeldet , werden die Informationen des Benutzers in der Sitzung auf dem Server angezeigt Seite. 2. Wenn der Angreifer nach Erhalt der SessionID bereits die Schnittstelle zum Ändern des Passworts kennt, kann er das Passwort des Benutzers direkt ändern. Wenn der Angreifer die Schnittstellenadresse noch nicht erhalten hat, kann er die Schnittstellenadresse anhand des Seitencodes herausfinden. Sie können den folgenden Befehl verwenden

#curl --cookie "PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7" 页面地址

Wie oben erwähnt, wird in diesem Beispiel der Ajax-Code in die HTML-Seite geschrieben, sodass Sie die Schnittstellenadresse auf dieser Seite anzeigen können

Teil des HTML Der Code lautet wie folgt

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
……
var uid = $(".userid").val();
$.post("/User/User/modifypass_do",
     {
        oldpass:oldpass,
        newpass:newpass,
        userid:uid,
     },
    function(data){
      data = eval(&#39;(&#39; +data+ &#39;)&#39;);
      $(&#39;.grant_info&#39;).html(infos[data.info]).show();
    }
 );
……
<span><input type="password" name="oldpass" id="textfield_o" placeholder="原密码"></span>
<span><input type="password" name="newpass" id="textfield_n" placeholder="新密码"></span>
<span><input type="password" name="confirmpass" id="textfield_c" placeholder="确认密码"></span>
<input type="button" class="btn_ok" value="确认修改" />

3. Nachdem Sie die Schnittstelle erhalten haben, können Sie Daten über Curl senden, um einen Beitrag zum Ändern des Passworts zu simulieren

Der Befehl lautet wie folgt

# curl --cookie "PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7" -d oldpass=111111 -d newpass=000000 -d userid=用户id 接口地址

Wenn der Benutzer bereits angemeldet ist, kann der Angreifer den oben genannten Befehl ausführen, um das Passwort des Benutzers zu ändern.

Lösung
Für die oben genannten Angriffe können wir die Sicherheit erhöhen, indem wir die Verifizierungsmethode verkomplizieren. Eine Möglichkeit besteht darin, das User-Agent-Element im Anforderungsheader zu verwenden, um die Sicherheit zu erhöhen

 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: Hm_lvt_bf1154ec41057869fceed66e9b3af5e7=1450428827,1450678226,1450851291,1450851486; PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7;
Host: ******
Referer: ******
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0

Zu Beginn des Projekts haben wir einfach die Funktion session_start() verwendet, um die Sitzung zu öffnen. Jetzt können wir diesen Code unter session_start()

$_SESSION[‘User_Agent'] = md5($_SERVER[‘HTTP_USER_AGENT']);

hinzufügen und dann jedes Mal, wenn wir beurteilen, ob wir uns anmelden sollen, die Beurteilungsbedingungen wie folgt hinzufügen

If(isset($_SESSION[‘userid']) && $_SESSION[‘User_Agent'] == md5($_SERVER[‘HTTP_USER_AGENT'])){
    return true;
}

Auf diese Weise können wir dies vermeiden der obige einfache Angriff.

Zusammenfassung:
Natürlich ist der eigentliche Angriff alles andere als einfach. Erstens ist es schwierig, die SessionID zu erhalten. Anschließend muss der mit dem Server interagierende Code so weit wie möglich verschlüsselt werden, um die oben genannte Situation zu vermeiden. Nachdem wir den Code zum zweiten Mal geändert haben, können wir die Komplexität des Angriffs erhöhen, ihn jedoch nicht beseitigen. Es gibt viele Angriffsmöglichkeiten. Dies ist nur eine einfache Möglichkeit, aber das Prinzip ist dasselbe. In tatsächlichen Situationen kann die Sicherheit unseres Codes entsprechend der tatsächlichen Situation erhöht werden.

Hier teile ich nur die Probleme, auf die ich bei der Arbeit gestoßen bin, und hoffe, dass jeder mehr darüber erfahren kann.

Das obige ist der detaillierte Inhalt vonIst es sicher, eine Sitzung in PHP zu verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!