php session劫持和防范的方法


Posted in PHP onNovember 12, 2013

session 数据暴露
会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会很大,因为会话数据是保存在服务器环境中的,而不是在数据库或文件系统中。因此,会话数据自然不会公开暴露。
使用SSL是一种特别有效的手段,它可以使数据在服务器和客户端之间传送时暴露的可能性降到最低。这对于传送敏感数据的应用来说非常重要。SSL在HTTP之上提供了一个保护层,以使所有在HTTP请求和应答中的数据都得到了保护。
如果你关心的是会话数据保存区本身的安全,你可以对会话数据进行加密,这样没有正确的密钥就无法读取它的内容。这在PHP中非常容易做到,你只要使用session_set_save_handler( )并写上你自己的session加密存储和解密读取的处理函数即可。
session 劫持
最常见的针对会话的攻击手段是会话劫持。它是所有攻击者可以用来访问其它人的会话的手段的总称。所有这些手段的第一步都是取得一个合法的会话标识来伪装成合法用户,因此保证会话标识不被泄露非常重要。前面关于会话暴露和固定的知识能帮助你保证会话标识只有服务器及合法用户才能知道。
深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。记住无论多小的障碍,都会以你的应用提供保护。
把伪装过程变得更复杂的关键是加强验证。会话标识是验证的首要方法,同时你可以用其它数据来补充它。你可以用的所有数据只是在每个HTTP请求中的数据:
GET / HTTP/1.1
Host: example.org
User-Agent: Firefox/1.0
Accept: text/html, image/png, image/jpeg, image/gif, */*
Cookie: PHPSESSID=1234
你应该意识到请求的一致性,并把不一致的行为认为是可疑行为。例如,虽然User-Agent(发出本请求的浏览器类型)头部是可选的,但是只要是发出该头部的浏览器通常都不会变化它的值。如果你一个拥有1234的会话标识的用户在登录后一直用Mozilla Firfox浏览器,突然转换成了IE,这就比较可疑了。例如,此时你可以用要求输入密码方式来减轻风险,同时在误报时,这也对合法用户产生的冲击也比较小。你可以用下面的代码来检测User-Agent的一致性:

<?php
session_start();
if (isset($_SESSION['HTTP_USER_AGENT']))
{
 if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT']))
 {
    /* Prompt for password */
    exit;
 }
}
else
{
 $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);
}?>

我观察过,在某些版本的IE浏览器中,用户正常访问一个网页和刷新一个网页时发出的Accept头部信息不同,因此Accept头部不能用来判断一致性。
确保User-Agent头部信息一致的确是有效的,但如果会话标识通过cookie传递(推荐方式),有道理认为,如果攻击者能取得会话标识,他同时也能取得其它HTTP头部。由于cookie暴露与浏览器漏洞或跨站脚本漏洞相关,受害者需要访问攻击者的网站并暴露所有头部信息。所有攻击者要做的只是重建头部以防止任何对头部信息一致性的检查。
比较好的方法是产生在URL中传递一个标记,可以认为这是第二种验证的形式(虽然更弱)。使用这个方法需要进行一些编程工作,PHP中没有相应的功能。例如,假设标记保存在$token中,你需要把它包含在所有你的应用的内部链接中:
<?php
$url = array();
$html = array();
$url['token'] = rawurlencode($token);
$html['token'] = htmlentities($url['token'], ENT_QUOTES, 'UTF-8');
?><a href="index.php?token=<?php echo $html['token']; ?>">Click Here</a>

为了更方便地管理这个传递过程,你可能会把整个请求串放在一个变量中。你可以把这个变量附加到所有链接后面,这样即便你一开始没有使用该技巧,今后还是可以很方便地对你的代码作出变化。
该标记需要包含不可预测的内容,即便是在攻击者知道了受害者浏览器发出的HTTP头部的全部信息也不行。一种方法是生成一个随机串作为标记:
<?php
$string = $_SERVER['HTTP_USER_AGENT'];
$string .= 'SHIFLETT';
$token = md5($string);
$_SESSION['token'] = $token;
?>

当你使用随机串时(如SHIFLETT),对它进行预测是不现实的。此时,捕获标记将比预测标记更为方便,通过在URL中传递标记和在cookie中传递会话标识,攻击时需要同时抓取它们二者。这样除非攻击者能够察看受害者发往你的应用所有的HTTP请求原始信息才可以,因为在这种情况下所有内容都暴露了。这种攻击方式实现起来非常困难(所以很罕见),要防止它需要使用SSL。
有专家警告不要依赖于检查User-Agent的一致性。这是因为服务器群集中的HTTP代理服务器会对User-Agent进行编辑,而本群集中的多个代理服务器在编辑该值时可能会不一致。如果你不希望依赖于检查User-Agent的一致性。你可以生成一个随机的标记:
<?php
$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;
?>

这一方法的安全性虽然是弱一些,但它更可靠。上面的两个方法都对防止会话劫持提供了强有力的手段。你需要做的是在安全性和可靠性之间作出平衡。
PHP 相关文章推荐
自动跳转中英文页面
Oct 09 PHP
mysq GBKl乱码
Nov 28 PHP
PHP去除数组中重复的元素并按键名排序函数
Aug 18 PHP
php设计模式 FlyWeight (享元模式)
Jun 26 PHP
PHP和Mysqlweb应用开发核心技术 第1部分 Php基础-3 代码组织和重用2
Jul 03 PHP
PHP获取url的函数代码
Aug 02 PHP
apache mysql php 源码编译使用方法
May 03 PHP
Mysql的Root密码忘记,查看或修改的解决方法(图文介绍)
Jun 14 PHP
遭遇php的in_array低性能问题
Sep 17 PHP
typecho插件编写教程(一):Hello World
May 28 PHP
PHP获取星期几的常用方法小结
Dec 18 PHP
thinkPHP5框架接口写法简单示例
Aug 05 PHP
php后门URL的防范
Nov 12 #PHP
php打开远程文件的方法和风险及解决方法
Nov 12 #PHP
php使用exec shell命令注入的方法讲解
Nov 12 #PHP
PHP使用PHPMailer发送邮件的简单使用方法
Nov 12 #PHP
PHP迭代器的内部执行过程详解
Nov 12 #PHP
PHP迭代器实现斐波纳契数列的函数
Nov 12 #PHP
PHP SPL使用方法和他的威力
Nov 12 #PHP
You might like
NO3第三帝国留言簿制作过程
2006/10/09 PHP
[原创]php正则删除html代码中class样式属性的方法
2017/05/24 PHP
ExtJS 2.0 实用简明教程之布局概述
2009/04/29 Javascript
学习ExtJS(一) 之基础前提
2009/10/07 Javascript
百度留言本js 大家可以参考下
2009/10/13 Javascript
JS Replace 全部替换字符的用法小结
2013/12/24 Javascript
写给小白的JavaScript引擎指南
2015/12/04 Javascript
JS与jQuery实现隔行变色的方法
2016/09/09 Javascript
jQuery+PHP+Mysql实现抽奖程序
2020/04/12 jQuery
学习使用Bootstrap栅格系统
2017/05/11 Javascript
angularjs实现时间轴效果的示例代码
2017/11/29 Javascript
Vue-不允许嵌套式的渲染方法
2018/09/13 Javascript
vue读取本地的excel文件并显示在网页上方法示例
2019/05/29 Javascript
vue-router之解决addRoutes使用遇到的坑
2020/07/19 Javascript
Element Notification通知的实现示例
2020/07/27 Javascript
基于vue 动态菜单 刷新空白问题的解决
2020/08/06 Javascript
JavaScript动态生成表格的示例
2020/11/02 Javascript
解决js中的setInterval清空定时器不管用问题
2020/11/17 Javascript
浅谈Python的文件类型
2016/05/30 Python
python微信跳一跳系列之色块轮廓定位棋盘
2018/02/26 Python
使用python的pexpect模块,实现远程免密登录的示例
2019/02/14 Python
Python学习笔记之抓取某只基金历史净值数据实战案例
2019/06/03 Python
Python爬虫之Selenium实现键盘事件
2020/12/04 Python
HTML5之多线程(Web Worker)
2019/01/02 HTML / CSS
仿CSDN Blog返回页面顶部功能实现原理及代码
2013/06/30 HTML / CSS
体验完美剃须:The Art of Shaving
2018/08/06 全球购物
正隆泰信息技术有限公司上机题
2012/06/14 面试题
个人培训自我鉴定
2014/03/28 职场文书
留守儿童工作方案
2014/06/02 职场文书
科学发展观演讲稿
2014/09/11 职场文书
优秀团员事迹材料
2014/12/25 职场文书
呼兰河传读书笔记
2015/06/30 职场文书
Django一小时写出账号密码管理系统
2021/04/29 Python
Vue的过滤器你真了解吗
2022/02/24 Vue.js
pytorch分类模型绘制混淆矩阵以及可视化详解
2022/04/07 Python
Android存储中最基本的文件存储方式
2022/04/30 Java/Android