PHP 세션은 안전한가요? _php 팁

저는 오랫동안 PHP 개발을 해왔지만 보안 문제에 대해 별로 관심을 두지 않았습니다. 저는 항상 프로젝트를 완료하는 데 집중했습니다. 최근 인터넷에서 보안에 관한 기사를 읽은 후 깨달았습니다. 이전에 모든 프로젝트가 보안상 큰 취약점을 가지고 있어서 하나의 프로젝트를 골라서 테스트해 보았는데, 쉽게 잡힐 수 있었습니다. 여기에서는 PHP 세션이 어떻게 안전하지 않은지, 그리고 프로젝트에서 보안을 강화하는 방법을 설명하기 위해 제가 작성한 테스트 예제를 공유하겠습니다.
세션의 원리와 메커니즘에 대해서는 인터넷에 소개된 좋은 글이 많이 있는데, 우리가 직접 확인해 볼 수 있습니다. 직접 테스트할 수 있는 예시를 공유해 보겠습니다.
이 테스트의 예는 주로 로그인 페이지이며, 비밀번호를 변경할 수 있는 간단한 기능입니다.
인터페이스는 다음과 같습니다

먼저 프로젝트 입구에서 session_start() 함수를 사용하여 세션을 엽니다. 이러한 방식으로 클라이언트가 요청을 시작하면 SessionID라는 ID 식별자가 생성됩니다. 이는 쿠키를 통해 클라이언트에 저장됩니다. 클라이언트와 서버 간의 각 통신은 식별을 위해 이 SessionID에 의존합니다.
로그인에 성공하면 사용자 ID와 사용자 이름이 세션에 저장됩니다

$_SESSION[‘userid'] = 用户id
$_SESSION[‘uname'] = 用户名

향후 모든 작업에서는 $_SESSION['userid']가 존재하는지 판단하여 사용자가 로그인했는지 여부를 확인합니다. 코드는 다음과 같습니다.

if(isset($_SESSION['userid'])) return true;

비밀번호 수정 인터페이스에 대한 호출은 Ajax Post를 통해 서버로 데이터를 전송합니다.

$.post("接口*******",
  {
     oldpass:oldpass,
     newpass:newpass,
     userid:uid,
  },
  function(data){
     data = eval('(' +data+ ')');
     $('.grant_info').html(infos[data.info]).show();
  }
);

참고로 이 코드는 html 페이지에 작성했기 때문에 html 코드를 보면 인터페이스 주소를 알 수 있습니다.
비밀번호 변경을 위한 인터페이스는 이렇게 구현됩니다. 먼저 사용자가 로그인되어 있는지 판단합니다. 사용자가 로그인되어 있으면 비밀번호 수정 작업이 수행됩니다.
테스트 예시의 구현 아이디어는 대략 위에서 설명한 바와 같습니다.
SessionID 공격 사용
1. 첫 번째는 SessionID를 얻는 방법입니다. 물론 공격자가 이 ID를 얻는 방법은 여러 가지가 있습니다. 제 수준이 제한되어 있으므로 여기서는 얻는 방법을 소개하지 않겠습니다. 먼저 이 프로젝트에 정상적으로 접속한 후, 브라우저를 통해 SessionID를 확인하여 합법적인 사용자 ID를 얻으면 시뮬레이션할 수 있습니다. 이 ID는 요청 헤더
에서 확인할 수 있습니다.

 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: Hm_lvt_bf1154ec41057869fceed66e9b3af5e7=1450428827,1450678226,1450851291,1450851486; PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7;
Host: ******
Referer: ******
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0 

세션 ID를 얻은 후 사용자가 성공적으로 로그인하면 사용자 정보가 서버 측 세션에 남게 됩니다.
2. SessionID를 획득한 후, 공격자가 이미 비밀번호 변경 인터페이스를 알고 있다면, 사용자의 비밀번호를 직접 변경할 수 있다. 공격자가 아직 인터페이스 주소를 획득하지 못한 경우에는 페이지 코드를 통해 인터페이스 주소를 알아낼 수 있다. 다음 명령을 사용할 수 있습니다

#curl --cookie "PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7" 页面地址

위에서 말했듯이 이 예에서는 ajax 코드가 html 페이지에 작성되어 있으므로 이 페이지에서 인터페이스 주소를 볼 수 있습니다
HTML 코드의 일부는 다음과 같습니다

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
……
var uid = $(".userid").val();
$.post("/User/User/modifypass_do",
     {
        oldpass:oldpass,
        newpass:newpass,
        userid:uid,
     },
    function(data){
      data = eval('(' +data+ ')');
      $('.grant_info').html(infos[data.info]).show();
    }
 );
……
<span><input type="password" name="oldpass" id="textfield_o" placeholder="原密码"></span>
<span><input type="password" name="newpass" id="textfield_n" placeholder="新密码"></span>
<span><input type="password" name="confirmpass" id="textfield_c" placeholder="确认密码"></span>
<input type="button" class="btn_ok" value="确认修改" />

3. 인터페이스를 얻은 후 컬을 사용하여 게시물을 시뮬레이션하여 비밀번호 변경을 위한 데이터를 보낼 수 있습니다
명령어는 다음과 같습니다

# curl --cookie "PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7" -d oldpass=111111 -d newpass=000000 -d userid=用户id 接口地址

이 사용자가 이미 로그인되어 있는 경우 공격자는 위 명령을 실행하여 사용자의 비밀번호를 변경할 수 있습니다.
솔루션
위의 공격에 대해서는 검증 방법을 복잡하게 하여 보안을 강화할 수 있습니다. 한 가지 방법은 요청 헤더의 User-Agent 항목을 사용하여 보안을 강화하는 것입니다

 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: Hm_lvt_bf1154ec41057869fceed66e9b3af5e7=1450428827,1450678226,1450851291,1450851486; PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7;
Host: ******
Referer: ******
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0

프로젝트 초반에는 session_start() 함수를 사용하여 세션을 시작했습니다. 이제 session_start() 아래에 이 코드를 추가할 수 있습니다

$_SESSION[‘User_Agent'] = md5($_SERVER[‘HTTP_USER_AGENT']);

그러면 로그인 여부를 판단할 때마다 다음 판단 조건을 추가하세요

If(isset($_SESSION[‘userid']) && $_SESSION[‘User_Agent'] == md5($_SERVER[‘HTTP_USER_AGENT'])){
    return true;
}

이렇게 하면 위에서 언급한 단순 공격을 피할 수 있습니다.
요약:
물론 실제 공격은 그렇게 단순하지 않습니다. 첫째, SessionID를 얻기가 어렵습니다. 그런 다음 위와 같은 상황을 피하기 위해 서버와 상호 작용하는 코드를 최대한 암호화해야 합니다. 두 번째로 코드를 수정한 후에는 공격의 복잡성을 높일 수 있지만 공격을 제거할 수는 없습니다. 공격 방법은 여러 가지가 있습니다. 이는 단순한 방법일 뿐이며 원칙은 동일합니다. 실제 상황에서는 실제 상황에 따라 우리 코드의 보안이 강화될 수 있습니다.

여기에서는 직장에서 겪은 문제를 공유하고 있으며, 모두가 더 깊이 배울 수 있기를 바랍니다.