扫码关注官方订阅号
攻击者提供一个包含已知会话ID的链接例如:点击,来诱使受害人点击这个链接,用户点击链接后可能会进行一系列操作,然后攻击者再使用这个会话ID登陆网站,从而劫持用户的会话,造成SESSION固定攻击。但是一般php的设置session.use_cookies和session.use_only_cookies都为1,也就是攻击者不能通过url传递会话ID的方式劫持SESSION,在这种情况下,还有可能造成SESSION固定攻击吗?
点击
session.use_cookies
session.use_only_cookies
人生最曼妙的风景,竟是内心的淡定与从容!
可以自己重写session,方便对各种规则进行设定校验。
难道不校验IP和安全HASH的么
假设当前用户的实际SESSION PrimaryKey为hash(ip+uid)。则$_SESSION[md5(ip.uid)]['login']
hash(ip+uid)
$_SESSION[md5(ip.uid)]['login']
微信扫码关注PHP中文网服务号
QQ扫码加入技术交流群
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
PHP学习
技术支持
返回顶部
0 
4
915
收藏
可以自己重写session,方便对各种规则进行设定校验。
难道不校验IP和安全HASH的么
假设当前用户的实际SESSION PrimaryKey为
hash(ip+uid)。则$_SESSION[md5(ip.uid)]['login']