PHP中的session安全吗?


Posted in PHP onJanuary 22, 2016

做PHP开发这么长时间,还真没有真正关注过安全的问题,每次都是以完成项目为主,最近在网上看到了一篇关于安全的文章,看完以后才注意到自己以前的项目都存在着很大的安全漏洞,于是挑了一个项目进行了测试,发现很容易就中招儿了。在这里我会分享自己写的一个测试的例子来说明PHP中的session是如何不安全的,以及在项目中如何加强其安全性。
对于session的原理机制,网上有很多好的文章来介绍,我们可以自行查阅。下面直接分享测试用的例子。
这个测试的例子主要就是一个登录页,登录成功以后可以修改密码,就这样一个简单的功能。
界面如下

PHP中的session安全吗?

首先是在项目入口的地方使用函数 session_start() 开启了session。这样当客户端发起请求的时候,会产生一个身份标识 也就是 SessionID。通过cookie的方式保存在客户端,客户端和服务端每次的通信都是靠这个SessionID来进行身份识别的。
登录成功以后,会将 用户id、用户名存入session中

$_SESSION[‘userid'] = 用户id
$_SESSION[‘uname'] = 用户名

以后所有的操作都是通过判断 $_SESSION[‘userid']是否存在来检查用户是否登录。代码如下:

if(isset($_SESSION['userid'])) return true;

对于修改密码接口的调用是通过ajax  post的方式将数据传输到服务端的。

$.post("接口*******",
  {
     oldpass:oldpass,
     newpass:newpass,
     userid:uid,
  },
  function(data){
     data = eval('(' +data+ ')');
     $('.grant_info').html(infos[data.info]).show();
  }
);

注意,我这里将这段代码写在了html页面中,所以说如果看到了html代码,也就知道了接口地址了。
修改密码的接口是这样实现的,首先是判断用户是否登录,如果登录才会进行密码的修改操作。
测试例子的实现思路大概就是上面介绍的那样。
利用SessionID攻击
1. 首先是获取SessionID,当然攻击者获取此标识的方式有很多,由于我的水平有限,至于如何获取我在这里不做介绍。我们可以模拟一下,先正常访问此项目,然后通过浏览器查看SessionID,以此得到一个合法的用户标识。可以在请求头中看到此项ID

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: Hm_lvt_bf1154ec41057869fceed66e9b3af5e7=1450428827,1450678226,1450851291,1450851486; PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7;
Host: ******
Referer: ******
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0

得到sessionID以后,如果此用户登录成功,那么服务端的session里就有此用户的信息了。
2. 获取到SessionID以后,假如攻击者已经知道修改密码的接口,就可以直接修改此用户的密码了。如果攻击者还没有得到接口地址,可以通过查看页面代码找出接口地址。可以使用如下的命令

#curl --cookie "PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7" 页面地址

上面我们说过,在此例子中ajax代码是写在html页面中的,所以在此页面可以查看到接口地址
部分html代码如下

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
……
var uid = $(".userid").val();
$.post("/User/User/modifypass_do",
     {
        oldpass:oldpass,
        newpass:newpass,
        userid:uid,
     },
    function(data){
      data = eval('(' +data+ ')');
      $('.grant_info').html(infos[data.info]).show();
    }
 );
……
<span><input type="password" name="oldpass" id="textfield_o" placeholder="原密码"></span>
<span><input type="password" name="newpass" id="textfield_n" placeholder="新密码"></span>
<span><input type="password" name="confirmpass" id="textfield_c" placeholder="确认密码"></span>
<input type="button" class="btn_ok" value="确认修改" />

3. 得到接口以后可以通过curl 模拟post发送数据来修改密码
命令如下

# curl --cookie "PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7" -d oldpass=111111 -d newpass=000000 -d userid=用户id 接口地址

如果此用户已经登录,那么攻击者可以通过执行以上命令修改用户的密码。
解决方法
对于以上方式的攻击,我们可以通过使验证方式复杂化来加强其安全性。其中一种方式就是利用请求头中的User-Agent项来加强其安全性

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: Hm_lvt_bf1154ec41057869fceed66e9b3af5e7=1450428827,1450678226,1450851291,1450851486; PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7;
Host: ******
Referer: ******
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0

在项目开始的时候最初我们只是用了session_start()函数来开启session。现在我们可以在session_start() 下面 添加这段代码

$_SESSION[‘User_Agent'] = md5($_SERVER[‘HTTP_USER_AGENT']);

然后在每次判断是否登录的时候,添加判断条件如下

If(isset($_SESSION[‘userid']) && $_SESSION[‘User_Agent'] == md5($_SERVER[‘HTTP_USER_AGENT'])){
    return true;
}

这样就可以避免上述简单的攻击。
总结:
当然,实际情况中的攻击远非这么简单,首先在获取SessionID这一步就比较困难,然后就是和服务端交互的代码尽量加密,可以避免上述的情况。在我们第二次修改代码以后,可以增加攻击的复杂程度,并不能杜绝攻击。攻击的方式多种多样,这里只是一种简单的方式,仅提供一种思路,但是原理是一样的,在实际情况中可以根据实际情况增强我们代码的安全程度。

这里只是分享自己在工作中碰到的问题,权当抛砖引玉,希望大家可以进一步深入学习。

PHP 相关文章推荐
一个ORACLE分页程序,挺实用的.
Oct 09 PHP
PHP 数组实例说明
Aug 18 PHP
PHP zlib扩展实现页面GZIP压缩输出
Jun 17 PHP
关于PHP模板Smarty的初级使用方法以及心得分享
Jun 21 PHP
php防止伪造数据从地址栏URL提交的方法
Aug 24 PHP
PHP 生成N个不重复的随机数
Jan 21 PHP
再推荐十款免费的php开发工具
Nov 09 PHP
visual studio code 调试php方法(图文详解)
Sep 15 PHP
php打开本地exe程序,js打开本地exe应用程序,并传递相关参数方法
Feb 06 PHP
基于PHP实现微信小程序客服消息功能
Aug 12 PHP
PHP语言对接抖音快手小红书视频/图片去水印API接口源码
Aug 11 PHP
php如何实现数据库的备份和恢复
Nov 30 PHP
PHP下载远程图片并保存到本地方法总结
Jan 22 #PHP
PHP连接MYSQL数据库实例代码
Jan 20 #PHP
CodeIgniter配置之autoload.php自动加载用法分析
Jan 20 #PHP
Twig模板引擎用法入门教程
Jan 20 #PHP
CodeIgniter控制器之业务逻辑实例分析
Jan 20 #PHP
CodeIgniter自定义控制器MY_Controller用法分析
Jan 20 #PHP
CodeIgniter钩子用法实例详解
Jan 20 #PHP
You might like
Zend Studio去除编辑器的语法警告设置方法
2012/10/24 PHP
php语言流程控制中的主动与被动
2012/11/05 PHP
WordPress开发中用于获取近期文章的PHP函数使用解析
2016/01/05 PHP
浅谈thinkphp5 instance 的简单实现
2017/07/30 PHP
尽可能写&quot;友好&quot;的&quot;Javascript&quot;代码
2007/01/09 Javascript
js 处理URL实用技巧
2010/11/23 Javascript
中文字符串截取的js函数代码
2013/04/17 Javascript
Javascript原型链和原型的一个误区
2014/10/22 Javascript
jQuery实现返回顶部效果的方法
2015/05/29 Javascript
js调出上下文菜单的实例
2015/12/17 Javascript
JS获取地址栏参数的两种方法(简单实用)
2016/06/14 Javascript
jQuery实现查找最近父节点的方法
2016/06/23 Javascript
js中的eval()函数把含有转义字符的字符串转换成Object对象的方法
2016/12/02 Javascript
借助node实战JSONP跨域实例
2017/03/30 Javascript
使用ECharts实现状态区间图
2018/10/25 Javascript
js实现转动骰子模型
2019/10/24 Javascript
[02:51]2018年度DOTA2最佳中单位选手-完美盛典
2018/12/17 DOTA
[39:46]完美世界DOTA2联赛PWL S2 LBZS vs Rebirth 第二场 11.25
2020/11/25 DOTA
Windows下为Python安装Matplotlib模块
2015/11/06 Python
Python聊天室实例程序分享
2016/01/05 Python
python自动翻译实现方法
2016/05/28 Python
python实现八大排序算法(2)
2017/09/14 Python
MySQL适配器PyMySQL详解
2017/09/20 Python
Django使用Mysql数据库已经存在的数据表方法
2018/05/27 Python
python多进程提取处理大量文本的关键词方法
2018/06/05 Python
django如何连接已存在数据的数据库
2018/08/14 Python
python 遍历列表提取下标和值的实例
2018/12/25 Python
使用matplotlib中scatter方法画散点图
2019/03/19 Python
Pytorch之view及view_as使用详解
2019/12/31 Python
Python代码执行时间测量模块timeit用法解析
2020/07/01 Python
python性能测试工具locust的使用
2020/12/28 Python
Python实现石头剪刀布游戏
2021/01/20 Python
HTML5自定义属性前缀data-及dataset的使用方法(html5 新特性)
2017/08/24 HTML / CSS
中国最大的团购网站:聚划算
2016/09/21 全球购物
前台接待岗位职责
2013/12/03 职场文书
秦兵马俑导游词
2015/02/02 职场文书