关于会话,需要关注的主要问题是会话标识的保密性问题。如果它是保密的,就不会存在会话劫持的风险了。通过一个合法的会话标识,一个攻击者可以非常成功地冒充成为你的某一个用户。
一个攻击者可以通过三种方法来取得合法的会话标识:
PHP生成的是随机性很强的会话标识,所以被猜测的风险是不存在的。常见的是通过捕获网络通信数据以得到会话标识。为了避免会话标识被捕获的风险,可以使用SSL,同时还要对浏览器漏洞及时修补。
要记住浏览器会根据请求中的Set-cookie头部中的要求对之后所有的请求中都包含一个相应的Cookie头部。最常见的是,会话标识会无谓的在对一些嵌入资源如图片的请求中被暴露。例如,请求一个包含10个图片的网页时,浏览器会发出11个带有会话标识的请求,但只有一个是有必要带有标识的。为了防止这种无谓的暴露,你可以考虑把所有的嵌入资源放在有另外一个域名的服务器上。
会话固定是一种诱骗受害者使用攻击者指定的会话标识的攻击手段。这是攻击者获取合法会话标识的最简单的方法。在这个最简单的例子中,使用了一个链接进行会话固定攻击:
<a href="http://example.org/index.php?PHPSESSID=1234">Click Here</a>
另外一个方法是使用一个协议级别的转向语句:
这也可以通过Refresh头部来进行,产生该头部的方法是通过真正的HTTP头部或meta标签的http-equiv属性指定。攻击者的目标是让用户访问包含有攻击者指定的会话标识的URL。这是一个基本的攻击的第一步,完整的攻击过程见图:
使用攻击者指定的会话标识进行的会话固定攻击
如果成功了,攻击者就能绕过抓取或猜测合法会话标识的需要,这就使发起更多和更危险的攻击成为可能。为了更好地使你理解这一步骤,最好的办法是你自己尝试一下。首先建立一个名为fixation.php的脚本:
4 | $_SESSION [ 'username' ] = 'chris' ; |
确认你没有保存着任何当前服务器的cookies,或通过清除所有的cookies以确保这一点。通过包含PHPSESSID的URL访问fixation.php:
http://example.org/fixation.php?PHPSESSID=1234
它建立了一个值为chris的会话变量username。在检查会话存储区后发现1234成为了该数据的会话标识:
建立第二段脚本test.php,它在$_SESSION['username']存在的情况下即输入出该值:
05 | if (isset( $_SESSION [ 'username' ])) |
07 | echo $_SESSION [ 'username' ]; |
在另外一台计算机上或者在另一个浏览器中访问下面的URL,同时该URL指定了相同的会话标识:
http://example.org/test.php?PHPSESSID=1234
这使你可以在另一台计算机上或浏览器中(模仿攻击者所在位置)恢复前面在fixation.php中建立的会话。这样,你就作为一个攻击者成功地劫持了一个会话。
很明显,我们不希望这种情况发生。因为通过上面的方法,攻击者会提供一个到你的应用的链接,只要通过这个链接对你的网站进行访问的用户都会使用攻击者所指定的会话标识。产生这个问题的一个原因是会话是由URL中的会话标识所建立的。当没有指定会话标识时,PHP就会自动产生一个。这就为攻击者大开了方便之门。幸运的是,我们以可以使用session_regenerate_id( )函数来防止这种情况的发生。
05 | if (!isset( $_SESSION [ 'initiated' ])) |
07 | session_regenerate_id(); |
08 | $_SESSION [ 'initiated' ] = TRUE; |
这就保证了在会话初始化时能有一个全新的会话标识。可是,这并不是防止会话固定攻击的有效解决方案。攻击者能简单地通过访问你的网站,确定PHP给出的会话标识,并且在会话固定攻击中使用该会话标识。
这确实使攻击者没有机会去指定一个简单的会话标识,如1234,但攻击者依然可以通过检查cookie或URL(依赖于标识的传递方式)得到PHP指定的会话标识。会话的这个弱点,同时它可以帮助你理解该问题涉及的范围。会话固定只是一个基础,攻击的目的是要取得一个能用来劫持会话的标识。这通常用于这样的一个系统,在这个系统中,攻击者能合法取得较低的权限(该权限级别只要能登录即可),这样劫持一个具有较高权限的会话是非常有用的。
如果会话标识在权限等级有改变时重新生成,就可以在事实上避开会话固定的风险:
03 | $_SESSION [ 'logged_in' ] = FALSE; |
07 | session_regenerate_id(); |
08 | $_SESSION [ 'logged_in' ] = TRUE; |
通过首先初始化会话进行会话固定攻击
我不推荐在每一页上重新生成会话标识。虽然这看起来确实是一个安全的方法。但与在权限等级变化时重新生成会话标识相比,并没有提供更多的保护手段。更重要的是,相反地它还会对你的合法用户产生影响,特别是会话标识通过URL传递时尤甚。用户可能会使用浏览器的访问历史机制去访问以前访问的页面,这样该页上的链接就会指向一个不再存在的会话标识。
如果你只在权限等级变化时重新生成会话标识,同样的情况也有可以发生,但是用户在访问权限变更前的页面时,不会因为会话丢失而奇怪,同时,这种情况也不常见。