Comment pouvons-nous empêcher la fixation et le piratage de sessions PHP ?

Fixation de session PHP et détournement : prévention et atténuation

Fixation de session

La fixation de session se produit lorsqu'un attaquant définit délibérément l'identifiant de session d'un utilisateur. Cela affaiblit la sécurité de la session car les attaquants peuvent utiliser l'identifiant prédéfini pour usurper l'identité de l'utilisateur. Pour empêcher la fixation de session :

1. Désactiver la transmission de session dans les URL : Définissez session.use_trans_sid sur 0 dans votre php.ini.
2. Restreindre les cookies pour Stockage de session : Définissez session.use_only_cookies sur 1 dans php.ini.
3. Régénérer l'ID de session : Appelez session_regenerate_id(true) chaque fois que l'état de la session change (par exemple, après la connexion).

Session Détournement

Le piratage de session est l'acte d'obtenir une session valide identifiant et l'utiliser pour envoyer des demandes en tant qu'utilisateur d'origine. Bien qu'il ne soit pas possible d'empêcher directement le détournement de session, plusieurs mesures peuvent le rendre plus difficile :

1. Hachage fort : Définissez session.hash_function sur un algorithme fort comme SHA256 ou SHA512 en php. ini.
2. Augmenter les bits de hachage : Définir session.hash_bits_per_character à 5 pour rendre la recherche des ID de session plus difficile.
3. Inclusion d'entropie : Ajoutez de l'entropie à l'ID de session en définissant session.entropy_file sur /dev/urandom et session.entropy_length sur un numéro approprié.
4. Nom de la session personnalisée : Modifiez le nom de la session par rapport au PHPSESSID par défaut à l'aide de session_name().
5. Rotation : Faites pivoter périodiquement l'ID de session pour réduire la durée de la session d'un attaquant.
6. Agent utilisateur Vérifiez : Incluez l'agent de navigateur de l'utilisateur ($_SERVER['HTTP_USER_AGENT']) dans la session et vérifiez-le lors des sessions suivantes. demandes.
7. Suivi de l'adresse IP : Stockez l'adresse IP de l'utilisateur ($_SERVER['REMOTE_ADDR']) dans la session et vérifiez-la par rapport aux demandes ultérieures.
8. Comparaison des jetons : Générez un jeton pour la session et le côté navigateur. Incrémentez et comparez le jeton à chaque requête.

Régénération de session

La régénération de l'ID de session à l'aide de session_regenerate_id(true) invalide également les anciennes données de session. Par conséquent, cette action est suffisante lorsqu'un changement d'état de session se produit.

Destruction complète de session

Lorsque vous terminez une session, utilisez destroySession() plutôt que session_destroy() pour complètement supprimez toutes les traces du navigateur et du serveur :

function destroySession() {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params['path'], $params['domain'],
        $params['secure'], $params['httponly']
    );
    session_destroy();
}

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!