彻底解决SESSION劫持、COOKIE欺骗的用户认证方案

最新推荐文章于 2023-06-10 11:42:07 发布
最新推荐文章于 2023-06-10 11:42:07 发布
阅读量5.2k 收藏 4
点赞数
分类专栏: PHP网站设计 文章标签: session function ssl 服务器 system solaris
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangkaixuan/article/details/7614547
版权

  HTTP是一种无状态的连接,会话状态的保持只能通过服务器端的SESSION来维持。SESSION认证依赖于颁发给用户的一个唯一的ID号。用户浏览器向服务器发送一个ID,服务器端存在该会话ID则认为该用户和会话用户为同一人。恶意攻击者可以通过嗅探网络中的COOKIE信息冒用其它用户的SESSION ID,从而冒充合法用户,这就是SESSION劫持。

COOKIE除了保存会话ID,还常常用于记住密码功能,避免繁琐的登录。大部分网站都将帐号密码保存于COOKIE中,这增加了风险:COOKIE传输过程中被第三方窥探、COOKIE文件被恶意拷贝、离线构造COOKIE破解密码……这一切都应该归于COOKIE欺骗。

现有的办法是使用SSL安全传输,但增加了开销,大部分网站都无法承担整站SSL带来的巨大资源消耗,往往是登录页使用SSL,其它页面依旧是透明的HTTP。这对SESSION劫持毫无用处。

本文以PHP为例,阐述一种比较完美解的解决方法。

原理:COOKIE可以伪造,IP可能更换,要唯一的标记一台计算机最合理的方式应该是标记其物理地址。

PHP获取物理地址可以通过以下方法


                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  huangkaixuan
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    4
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  5
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
(15)session原理,应用(防止用户非法登录、验证码、关闭浏览器再开启浏览器还能访问之前的session

				
			

			

				

					FixedStar 的博客
				

				

					09-11
					
					2508
					
				

			

		

		

			
				
用户打开浏览器,访问某个网站时操作session时,服务器就会在服务器的内存为该浏览器分一个session对象,该session对象呗这个浏览器独占。 
这个session对象也可以看做是一个容器,session对象默认存在时间为30min,也可以修改。 
 
A:服务器分配给A客户端的session对象……如何理解session: 
①session可以看做一个容器类似于HashMap,有两列,

			
		

	



                

              
                



	

		

			

				
					
WEB中SESSION盗用问题

				
			

			

				

					老照片
				

				

					09-06
					
					821
					
				

			

		

		

			
				
WEB中SESSION盗用问题

			
		

	



                


  
              

                


	

		

			

				
					
如何解决cookie失效的方法? 

					
热门推荐

				
			

			

				

					jxufewbt的专栏
				

				

					08-24
					
					1万+
					
				

			

		

		

			
				
解决cookie失效的方法

			
		

	





	

		

			

				
					
JavaWEB_Session被禁用的后果和解决方法

				
			

			

				

					迎难而上
				

				

					06-02
					
					4786
					
				

			

		

		

			
				
原文地址:http://q.cnblogs.com/q/55805/


sessionid是存储在cookie中的,解决方案如下:

Session URL重写,保证在客户端禁用或不支持COOKIE时,仍然可以使用Session

session机制。session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。

当程序需要为某个

			
		

	



		

			
		



	

		

			

				
					
不安全的Cookie

				
			

			

				

					夜行者的博客
				

				

					02-21
					
					1750
					
				

			

		

		

			
				
Cookie存储在浏览器端(用户本地),攻击者能够通过脚本、工具等截获cookie信息,窃取Cookie中的敏感信息(若有),或利用Cookie进行欺骗(模拟身份验证),获得用户的隐私信息,造成更大的危害。

检测方法:

1)获取系统登陆后的请求包,查看系统请求时的请求包中cookie是否包含账号密码等敏感信息

2)查看cookie是否使用HttpOnly属性,浏览器F12,在会话中输入javascript:alert(document.cookie),检查是否弹出用户会话信息

解决方法:

1. 设

			
		

	





	

		

			

				
					
cookie欺骗

				
			

			

				

					07-06
				

			

		

		

			
				
**Cookie欺骗**是一种网络安全攻击手段,它涉及到攻击者利用受害者的Cookie来假冒受害者的身份,从而在Web应用程序中执行未经授权的操作。这种攻击方式通常发生在受害者访问了被篡改或不安全的网站,或者他们的...

			
		

	





	

		

			

				
					
webgoat——Session Management Flaws会话管理缺陷

				
			

			

				

					01-20
				

			

		

		

			
				
认证Cookie欺骗是指攻击者利用获取或预测的认证Cookie来假冒用户登录。如果应用对Cookie的处理不当,攻击者可能无需知道用户名和密码就能登录。WebGoat的这个部分教导用户如何理解和利用认证Cookie的弱点。例如,...

			
		

	





	

		

			

				
					
拿别人Session欺骗 好了的站1

				
			

			

				

					08-08
				

			

		

		

			
				
标题中的“拿别人Session欺骗 好了的站1”是指一种网络安全攻击方式,即Session欺骗,也称为会话劫持。在这种攻击中,攻击者通过获取他人的Session信息,来伪装成合法用户,从而控制其账户。描述简单地提到了这种...

			
		

	





	

		

			

				
					
基于MD5和Session的PHP安全防范.pdf

					
最新发布

				
			

			

				

					01-05
				

			

		

		

			
				
Session劫持是一种比较复杂的攻击方法,目前,在防XSS攻击、SQL注入漏洞攻击以及源码泄露等方面采取了许多防范措施。其研究重点是在对SessionID值的防泄漏上,显然各种Session设置会起到较好的防范效果。本文在PHP中...

			
		

	





	

		

			

				
					
WEB安全测试分类及防范测试方法.docx

				
			

			

				

					12-18
				

			

		

		

			
				
 - **Session测试**:防止Session劫持和伪造,确保客户端和服务器之间的通信安全,定期刷新Session ID,同时考虑Session存储的位置和方式。  - **跨站脚本(XSS)漏洞测试**:XSS攻击通过注入可执行代码,影响用户...

			
		

	





	

		

			

				
					
sessionid冒名顶替

				
			

			

				

					zp40507210的博客
				

				

					06-01
					
					352
					
				

			

		

		

			
				
sessionId都是存储到客户端的,或者cookie或者url.在每次请求中都传回服务器。
那黑客有没有可能劫持请求。查看sessionid,然后冒名顶替?
1、sessionID 加密(可以自己设置规则,比如生成的时候,将用户IP和随机串拼接后加密+"-"+随机串,验证的时候,获取用户IP和随机串然后加密判断是
       否一致,是一致则成功,否则登录)
2、设置 httponly

			
		

	





	

		

			

				
					
防止Cookie修改id欺骗登录

				
			

			

				

					myyataoo的专栏
				

				

					07-25
					
					1404
					
				

			

		

		

			
				
笔者设计了自动重新申请session的机制(具体见前期文章),当session过期,可以创建新的session续航。在开发网站时,经常需要通过保存在Cookie中的id恢复Session登录。(3)需要通过cookie恢复网页时,将cookie中的验证串和通过用户表存储的check_key计算出来的验证串作比对,从而实现防欺骗。(2)将id和验证串check_code保存到cookie中,将check_key保存到用户表记录字段中。(6)Users类创建验证方法。...

			
		

	





	

		

			

				
					
“黑客”入门学习之“Cookie技术详解”

				
			

			

				

					Y525698136的博客
				

				

					06-10
					
					1710
					
				

			

		

		

			
				
今天就以本篇文章详细给大家介绍一下Cookie是什么?Cookie基本原理与实现?Cookie到底存在哪些安全隐患,我们该如何防御,有没有其他技术替代方案?

			
		

	





	

		

			

				
					
如何防止Session伪造攻击

				
			

			

				

					大肚牛的博客--magento, SEO技术交流
				

				

					12-12
					
					2477
					
				

			

		

		

			
				
什么是SESSION伪造攻击:

Session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击.

任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSI

			
		

	





	

		

			

				
					
Session伪造记录

				
			

			

				

					qq_49422880的博客
				

				

					09-05
					
					4530
					
				

			

		

		

			
				
sessioncookie的区别
cookie数据保存在客户端,session数据保存在服务端。
session
简单的说,当你登陆一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话sessionid,服务器根据当前sessionid判断相应的用户数据标志,以确定用户是否登陆或具有某种权限。由于数据是存储在服务器上面,所以你不能伪造。
cookie
sessionid是服务器和客户端连接时候随机分配的,如果浏览器使用的是coo

			
		

	





	

		

			

				
					
Session认证机制与JWT认证机制

				
			

			

				

					qq_59181609的博客
				

				

					07-11
					
					309
					
				

			

		

		

			
				
身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户。例如,你去找快递员取快递,你要怎么证明这份快递是你的。HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。2.1 什么是 CookieCookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称(Name)、一

			
		

	





	

		

			

				
					
CookieSessionSession 劫持简单总结

				
			

			

				

					dian07342的博客
				

				

					06-23
					
					163
					
				

			

		

		

			
				
cookie 机制:
Cookies 是 服务器 在 本地机器 上存储的 小段文本,并伴随着 每一个请求,发送到 同一台 服务器。
网络服务器 用 HTTP头 向客户端发送 Cookies。在客户端,浏览器解析这些 cookies 并将它们保存成为一个本地文件,他会自动将同一台服务器的任何请求附上这些 cookies。
因为 HTTP 是一种无状态的协议,而cookie机制采用的是...

			
		

	





	

		

			

				
					
java cookie 登录_JavaWeb使用SessionCookie实现登录认证

				
			

			

				

					05-18
				

			

		

		

			
				
JavaWeb应用中,为了实现用户登录认证,通常会使用SessionCookieSession是在服务端保存用户状态的一种机制,每个用户在访问服务器时都会被分配一个唯一的Session ID,通过该ID可以在服务端存储和获取与该用户...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 5

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值