PHP 会话固定和劫持:预防和缓解
会话固定
发生会话固定当攻击者故意为用户设置会话标识符时。这削弱了会话的安全性,因为攻击者可以使用预定义的标识符来冒充用户。要防止会话固定:
-
禁用 URL 中的会话传输: 在 php.ini 中将 session.use_trans_sid 设置为 0。
-
限制 Cookie会话存储: 将 session.use_only_cookies 设置为 1 中php.ini.
-
重新生成会话 ID:每当会话状态更改(例如登录后)时,调用 session_regenerate_id(true)。
会话劫持
会话劫持是以下行为获取有效的会话标识符并使用它作为原始用户发送请求。虽然直接防止会话劫持是不可能的,但有几种措施可以使其变得更加困难:
-
强哈希:将 session.hash_function 设置为强算法,如 php 中的 SHA256 或 SHA512。 ini.
-
增加哈希位:设置session.hash_bits_per_character 为 5,使猜测会话 ID 更具挑战性。
-
熵包含: 通过将 session.entropy_file 设置为 /dev/urandom 并将 session.entropy_length 设置为 a,将熵添加到会话 ID合适的数量。
-
自定义会话名称: 使用 session_name() 更改默认 PHPSESSID 的会话名称。
-
轮换:定期轮换会话 ID 以减少攻击者的会话持续时间。
- 用户代理检查:包括用户的浏览器代理($_SERVER['HTTP_USER_AGENT']) 在会话中并在后续请求中检查它。
-
IP 地址跟踪: 将用户的 IP 地址 ($_SERVER['REMOTE_ADDR']) 存储在会话并根据后续请求进行检查。
-
令牌比较:生成令牌对于会话和浏览器端。递增并比较每个请求的令牌。
会话重新生成
使用 session_regenerate_id(true) 重新生成会话 ID 也会使旧会话数据无效。因此,当会话状态发生变化时,此操作就足够了。
彻底的会话销毁
结束会话时,使用 destroySession() 而不是 session_destroy() 彻底销毁删除浏览器和服务器上的所有痕迹:
function destroySession() {
$params = session_get_cookie_params();
setcookie(session_name(), '', time() - 42000,
$params['path'], $params['domain'],
$params['secure'], $params['httponly']
);
session_destroy();
}
登录后复制
以上是如何防止 PHP 会话固定和劫持?的详细内容。更多信息请关注PHP中文网其他相关文章!