PHP session会话的安全性分析


Posted in PHP onSeptember 08, 2011

从而达到方便快捷的目的,但是它在存储信息的时候往往会有一些敏感的东西,这些东西可能成为被攻击的目标,如银行的账号、信用卡事务或档案记录等。这就要求在编写代码的时候必须采取安全措施来减少攻击成功的可能性。

主要的安全措施有以下两个方面。

1、防止攻击者获取用户的会话ID。

获取会话ID的方式很多,攻击者可以通过查看明文通信来获取,所以把会话ID放在URL中或者放在通过未加密连接传输的Cookie中是很危险的;还有在URL中(作为_get()参数)传递会话ID也是不安全的,因为浏览器历史缓存中会存储URL,这样就很容易被读取。(可以考虑使用ssh进行加密传输)

还有一种更为隐蔽的攻击手段,攻击者通过一个被脚本攻击突破的Web站点,把被突破的这个站点上的用户重新定向到另一个站点,然后在重新定向的站点的URL中插入以下代码:
?PHPSESSID=213456465412312365465412312;

最后发送到Web应用程序。当用户查看Web应用程序时,PHP会发现没有与这个会话ID相关联的数据并且会创建一些数据。用户不知道发生了什么,但攻击者却知道了会话ID,就可以利用这个会话ID进入应用程序。

要防止这种攻击,有两种方法。
(1)检查php.ini中是否打开了session.use_only_cookie。如果是这种情况,PHP会拒绝基于URL的会话ID。
(2)当启动会话时,在会话数据中放一个变量,这个变量表示会话是用户创建的;如果发现会话数据中没有这个变量,那就说明会话ID是假的,就可以调用session_regenerate_id函数,给现有会话分配一个新的会话ID。

示例:

通过判断变量是否存在来确定会话ID的真假,如果存在,则说明会话ID是真的,否则是假的,并使用session_regenerate_id()函数对会话ID进行更改,重新给会话创建一个新的会话ID,

代码如下:

< ?php 
session_start () ; 
if (!isset ( $_SESSION['shili1'] )) { //判断shili1变量是否配置 
$old_id = session_id () ; //原来的会话ID的变量名 
session_regenerate_id () ; //获取一个新的会话ID 
$new_id = session_id () ; //新的会话ID的变量名 
echo "old : $old_id<br/>" ; //输出原来的会话ID 
echo "new : $new_id<br/>" ; //输出新的会话ID 
$_SESSION['shili1'] = TRUE ; } 
?>

运行结果如图所示:
PHP session会话的安全性分析
这只是一个示例,输出会话ID是为了更好的理解和应用这个函数,而在程序设计中是不需要输出会话ID的。

2、限制攻击者获取会话ID。

限制攻击者获取会话ID的方法如下。
(1)使用一个函数(md5)计算User-Agent头加上某些附加字符串数据后的散列值(hash)。(散列函数(hash function)接受一个任意大的数据集,并且将它转换为一个看起来完全不同的数据,这个数据很短。产生的散列值是完全不可重现的,也不可能由另一个输入产生。)

在User-Agent字符串后面添加一些数据,攻击者就无法通过对常见的代理值计算md5编码来试探User-Agent字符串。

(2)将这个经过编码的字符串保存在用户的会话数据中。
(3)每次从这个用户接收到请求时,检查这个散列值。

此方案的代码如下:

<?php 
define ( ‘ua_seed','webapp' ) ; 
session_start () ; 
if ( !isset($_SESSION['user_agent'] )){ 
$_SESSION['user_agent'] = md5 ( $_SERVER['HTTP_USER_AGENT'].ua_seed ); 
}else{ 
if ($_SESSION['user_agent'] != md5($_SERVER['HTTP_USER_AGENT'].ua_seed)){} } 
?>

通过给攻击者制造一些麻烦,使攻击者即使获取了会话ID,也无法进行破坏,能够减少对系统造成的损失。
PHP 相关文章推荐
PHP4之COOKIE支持详解
Oct 09 PHP
PHP 危险函数解释 分析
Apr 22 PHP
php使用str_replace实现输入框回车替换br的方法
Nov 24 PHP
PHP中实现Bloom Filter算法
Mar 30 PHP
浅谈php提交form表单
Jul 01 PHP
php二维码生成
Oct 19 PHP
php实现当前页面点击下载文件的简单方法
Sep 22 PHP
PHP版微信第三方实现一键登录及获取用户信息的方法
Oct 14 PHP
php发送http请求的常用方法分析
Nov 08 PHP
thinkPHP5.0框架命名空间详解
Mar 18 PHP
PHP面向对象程序设计(OOP)之方法重写(override)操作示例
Dec 21 PHP
Ajax+PHP实现的分类列表框功能示例
Feb 11 PHP
php中实现简单的ACL 完结篇
Sep 07 #PHP
php将时间差转换为字符串提示
Sep 07 #PHP
php 中英文语言转换类
Sep 07 #PHP
php继承的一个应用
Sep 06 #PHP
php 抽象类的简单应用
Sep 06 #PHP
PHP中PDO基础教程 入门级
Sep 04 #PHP
PHP中PDO的错误处理
Sep 04 #PHP
You might like
php面向对象全攻略 (十) final static const关键字的使用
2009/09/30 PHP
PHP 过滤页面中的BOM(实现代码)
2013/06/29 PHP
你可能不知道PHP get_meta_tags()函数
2014/05/12 PHP
PHP进程同步代码实例
2015/02/12 PHP
apache php mysql开发环境安装教程
2016/07/28 PHP
PHP chop()函数讲解
2019/02/11 PHP
jquery事件重复绑定的快速解决方法
2014/01/03 Javascript
jquery.hotkeys监听键盘按下事件keydown插件
2014/05/11 Javascript
Bootstrap菜单按钮及导航实例解析
2016/09/09 Javascript
js调用父框架函数与弹窗调用父页面函数的简单方法
2016/11/01 Javascript
vue.js实现只弹一次弹框
2018/01/29 Javascript
解决在Bootstrap模糊框中使用WebUploader的问题
2018/03/22 Javascript
Vue.js 事件修饰符的使用教程
2018/11/01 Javascript
Ajax请求时无法重定向的问题解决代码详解
2019/06/21 Javascript
Vue触发隐藏input file的方法实例详解
2019/08/14 Javascript
vue data变量相互赋值后被实时同步的解决步骤
2020/08/05 Javascript
[09:34]2018DOTA2国际邀请赛寻真——永不放弃的iG
2018/08/14 DOTA
[59:32]Liquid vs Fnatic 2019国际邀请赛淘汰赛败者组BO1 8.20.mp4
2020/07/19 DOTA
Python格式化压缩后的JS文件的方法
2015/03/05 Python
python3解析库lxml的安装与基本使用
2018/06/27 Python
python遍历路径破解表单的示例
2020/11/21 Python
波兰化妆品和护肤品购物网站:eKobieca
2019/08/30 全球购物
美国户外服装和装备购物网站:Outland USA
2020/03/22 全球购物
十八届三中全会宣传方案
2014/02/21 职场文书
财务人员的自我评价范文
2014/03/03 职场文书
《真想变成大大的荷叶》教学反思
2014/04/14 职场文书
初三新学期计划书
2014/05/03 职场文书
研究生求职自荐书
2014/06/23 职场文书
贷款担保书
2015/01/20 职场文书
董事长助理工作总结2015
2015/07/23 职场文书
三好学生主要事迹怎么写
2015/11/03 职场文书
JS Canvas接口和动画效果大全
2021/04/29 Javascript
python自动化之如何利用allure生成测试报告
2021/05/02 Python
FFmpeg视频处理入门教程(新手必看)
2022/01/22 杂记
Vue的生命周期一起来看看
2022/02/24 Vue.js
分享五个Node.js开发的优秀实践 
2022/04/07 NodeJs