HTTP是一种无状态的连接,会话状态的保持只能通过服务器端的SESSION来维持。SESSION认证依赖于颁发给用户的一个唯一的ID号。用户浏览器向服务器发送一个ID,服务器端存在该会话ID则认为该用户和会话用户为同一人。恶意攻击者可以通过嗅探网络中的COOKIE信息冒用其它用户的SESSION ID,从而冒充合法用户,这就是SESSION劫持。
COOKIE除了保存会话ID,还常常用于记住密码功能,避免繁琐的登录。大部分网站都将帐号密码保存于COOKIE中,这增加了风险:COOKIE传输过程中被第三方窥探、COOKIE文件被恶意拷贝、离线构造COOKIE破解密码……这一切都应该归于COOKIE欺骗。
现有的办法是使用SSL安全传输,但增加了开销,大部分网站都无法承担整站SSL带来的巨大资源消耗,往往是登录页使用SSL,其它页面依旧是透明的HTTP。这对SESSION劫持毫无用处。
本文以PHP为例,阐述一种比较完美解的解决方法。
原理:COOKIE可以伪造,IP可能更换,要唯一的标记一台计算机最合理的方式应该是标记其物理地址。
PHP获取物理地址可以通过以下方法