php session劫持和防范的方法


Posted in PHP onNovember 12, 2013

session 数据暴露
会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会很大,因为会话数据是保存在服务器环境中的,而不是在数据库或文件系统中。因此,会话数据自然不会公开暴露。
使用SSL是一种特别有效的手段,它可以使数据在服务器和客户端之间传送时暴露的可能性降到最低。这对于传送敏感数据的应用来说非常重要。SSL在HTTP之上提供了一个保护层,以使所有在HTTP请求和应答中的数据都得到了保护。
如果你关心的是会话数据保存区本身的安全,你可以对会话数据进行加密,这样没有正确的密钥就无法读取它的内容。这在PHP中非常容易做到,你只要使用session_set_save_handler( )并写上你自己的session加密存储和解密读取的处理函数即可。
session 劫持
最常见的针对会话的攻击手段是会话劫持。它是所有攻击者可以用来访问其它人的会话的手段的总称。所有这些手段的第一步都是取得一个合法的会话标识来伪装成合法用户,因此保证会话标识不被泄露非常重要。前面关于会话暴露和固定的知识能帮助你保证会话标识只有服务器及合法用户才能知道。
深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。记住无论多小的障碍,都会以你的应用提供保护。
把伪装过程变得更复杂的关键是加强验证。会话标识是验证的首要方法,同时你可以用其它数据来补充它。你可以用的所有数据只是在每个HTTP请求中的数据:
GET / HTTP/1.1
Host: example.org
User-Agent: Firefox/1.0
Accept: text/html, image/png, image/jpeg, image/gif, */*
Cookie: PHPSESSID=1234
你应该意识到请求的一致性,并把不一致的行为认为是可疑行为。例如,虽然User-Agent(发出本请求的浏览器类型)头部是可选的,但是只要是发出该头部的浏览器通常都不会变化它的值。如果你一个拥有1234的会话标识的用户在登录后一直用Mozilla Firfox浏览器,突然转换成了IE,这就比较可疑了。例如,此时你可以用要求输入密码方式来减轻风险,同时在误报时,这也对合法用户产生的冲击也比较小。你可以用下面的代码来检测User-Agent的一致性:

<?php
session_start();
if (isset($_SESSION['HTTP_USER_AGENT']))
{
 if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT']))
 {
    /* Prompt for password */
    exit;
 }
}
else
{
 $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);
}?>

我观察过,在某些版本的IE浏览器中,用户正常访问一个网页和刷新一个网页时发出的Accept头部信息不同,因此Accept头部不能用来判断一致性。
确保User-Agent头部信息一致的确是有效的,但如果会话标识通过cookie传递(推荐方式),有道理认为,如果攻击者能取得会话标识,他同时也能取得其它HTTP头部。由于cookie暴露与浏览器漏洞或跨站脚本漏洞相关,受害者需要访问攻击者的网站并暴露所有头部信息。所有攻击者要做的只是重建头部以防止任何对头部信息一致性的检查。
比较好的方法是产生在URL中传递一个标记,可以认为这是第二种验证的形式(虽然更弱)。使用这个方法需要进行一些编程工作,PHP中没有相应的功能。例如,假设标记保存在$token中,你需要把它包含在所有你的应用的内部链接中:
<?php
$url = array();
$html = array();
$url['token'] = rawurlencode($token);
$html['token'] = htmlentities($url['token'], ENT_QUOTES, 'UTF-8');
?><a href="index.php?token=<?php echo $html['token']; ?>">Click Here</a>

为了更方便地管理这个传递过程,你可能会把整个请求串放在一个变量中。你可以把这个变量附加到所有链接后面,这样即便你一开始没有使用该技巧,今后还是可以很方便地对你的代码作出变化。
该标记需要包含不可预测的内容,即便是在攻击者知道了受害者浏览器发出的HTTP头部的全部信息也不行。一种方法是生成一个随机串作为标记:
<?php
$string = $_SERVER['HTTP_USER_AGENT'];
$string .= 'SHIFLETT';
$token = md5($string);
$_SESSION['token'] = $token;
?>

当你使用随机串时(如SHIFLETT),对它进行预测是不现实的。此时,捕获标记将比预测标记更为方便,通过在URL中传递标记和在cookie中传递会话标识,攻击时需要同时抓取它们二者。这样除非攻击者能够察看受害者发往你的应用所有的HTTP请求原始信息才可以,因为在这种情况下所有内容都暴露了。这种攻击方式实现起来非常困难(所以很罕见),要防止它需要使用SSL。
有专家警告不要依赖于检查User-Agent的一致性。这是因为服务器群集中的HTTP代理服务器会对User-Agent进行编辑,而本群集中的多个代理服务器在编辑该值时可能会不一致。如果你不希望依赖于检查User-Agent的一致性。你可以生成一个随机的标记:
<?php
$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;
?>

这一方法的安全性虽然是弱一些,但它更可靠。上面的两个方法都对防止会话劫持提供了强有力的手段。你需要做的是在安全性和可靠性之间作出平衡。
PHP 相关文章推荐
PHP通用检测函数集合
Feb 08 PHP
Session保存到数据库的php类分享
Oct 24 PHP
php 字符串中的\n换行符无效、不能换行的解决方法
Apr 02 PHP
PHP保存带BOM文件的方法
Feb 12 PHP
php实现模拟登陆方正教务系统抓取课表
May 19 PHP
PHP封装的MSSql操作类完整实例
May 26 PHP
Laravel中的Blade模板引擎示例详解
Oct 10 PHP
PHP自动识别当前使用移动终端
May 21 PHP
PHP cookie,session的使用与用户自动登录功能实现方法分析
Jun 05 PHP
Laravel 中使用简单的方法跟踪用户是否在线(推荐)
Oct 30 PHP
ThinkPHP5与单元测试PHPUnit使用详解
Feb 23 PHP
YII2框架中日志的配置与使用方法实例分析
Mar 18 PHP
php后门URL的防范
Nov 12 #PHP
php打开远程文件的方法和风险及解决方法
Nov 12 #PHP
php使用exec shell命令注入的方法讲解
Nov 12 #PHP
PHP使用PHPMailer发送邮件的简单使用方法
Nov 12 #PHP
PHP迭代器的内部执行过程详解
Nov 12 #PHP
PHP迭代器实现斐波纳契数列的函数
Nov 12 #PHP
PHP SPL使用方法和他的威力
Nov 12 #PHP
You might like
Mysql中limit的用法方法详解与注意事项
2008/04/19 PHP
Optimizer与Debugger兼容性问题的解决方法
2008/12/01 PHP
利用curl 多线程 模拟 并发的详解
2013/06/14 PHP
谈谈PHP中substr和substring的正确用法及相关参数的介绍
2015/12/16 PHP
PHP函数按引用传递参数及函数可选参数用法示例
2018/06/04 PHP
ThinkPHP3.1.2 使用cli命令行模式运行的方法
2020/04/14 PHP
另类调用flash无须激活的方法
2006/12/27 Javascript
jquery 显示*天*时*分*秒实现时间计时器
2014/05/07 Javascript
ubuntu下安装nodejs以及升级的办法
2015/05/08 NodeJs
谈谈js中的prototype及prototype属性解释和常用方法
2015/11/25 Javascript
Atitit.js的键盘按键事件捆绑and事件调度
2016/04/01 Javascript
JavaScript组合模式学习要点
2016/08/26 Javascript
让浏览器崩溃的12行JS代码(DoS攻击分析及防御)
2016/10/10 Javascript
ES6解构赋值实例详解
2017/10/31 Javascript
js 提取某()特殊字符串长度的实例
2017/12/06 Javascript
JS使用Prim算法和Kruskal算法实现最小生成树
2019/01/17 Javascript
微信小程序云开发实现云数据库读写权限
2019/05/17 Javascript
nodejs使用socket5进行代理请求的实现
2020/02/21 NodeJs
JSON获取属性值方法代码实例
2020/06/30 Javascript
[15:58]DOTA2国际邀请赛采访专栏:Tongfu.Sansheng&KingJ,DK.rOtk
2013/08/08 DOTA
Python中使用ElementTree解析XML示例
2015/06/02 Python
python 捕获 shell/bash 脚本的输出结果实例
2017/01/04 Python
分享Pycharm中一些不为人知的技巧
2018/04/03 Python
Python机器学习算法库scikit-learn学习之决策树实现方法详解
2019/07/04 Python
django admin 自定义替换change页面模板的方法
2019/08/23 Python
Python3从零开始搭建一个语音对话机器人的实现
2019/08/23 Python
Python如何截图保存的三种方法(小结)
2020/09/01 Python
python使用ctypes库调用DLL动态链接库
2020/10/22 Python
python 利用opencv实现图像网络传输
2020/11/12 Python
快速创建python 虚拟环境
2020/11/28 Python
使用JS+CSS3技术:让你的名字动起来
2013/04/27 HTML / CSS
HTML5自定义属性的问题分析
2019/08/16 HTML / CSS
教师推荐信范文
2013/11/24 职场文书
2014元旦晚会策划方案
2014/02/19 职场文书
《小松树和大松树》教学反思
2014/02/20 职场文书
社区综治宣传月活动总结
2014/07/02 职场文书