PHP安全编程:session劫持的防御session 数据暴露

最新推荐文章于 2023-04-09 17:51:40 发布
最新推荐文章于 2023-04-09 17:51:40 发布
阅读量1.7k 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwc2xm/article/details/50846535
版权
本文探讨了PHP中session数据的安全问题,包括数据暴露的危险及session劫持的概念。针对这些问题,文章提出了相关的防御措施,旨在增强PHP应用程序的安全性。
摘要由CSDN通过智能技术生成

session 数据暴露

会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会很大,因为会话数据是保存在服务器环境中的,而不是在数据库或文件系统中。因此,会话数据自然不会公开暴露。

使用SSL是一种特别有效的手段,它可以使数据在服务器和客户端之间传送时暴露的可能性降到最低。这对于传送敏感数据的应用来说非常重要。SSL在HTTP之上提供了一个保护层,以使所有在HTTP请求和应答中的数据都得到了保护。

如果你关心的是会话数据保存区本身的安全,你可以对会话数据进行加密,这样没有正确的密钥就无法读取它的内容。这在PHP中非常容易做到,你只要使用session_set_save_handler( )并写上你自己的session加密存储和解密读取的处理函数即可。

session 劫持

最常见的针对会话的攻击手段是会话劫持。它是所有攻击者可以用来访问其它人的会话的手段的总称。所有这些手段的第一步都是取得一个合法的会话标识来伪装成合法用户,因此保证会话标识不被泄露非常重要。前面关于会话暴露和固定的知识能帮助你保证会话标识只有服务器及合法用户才能知道。

深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。记住无论多小的障碍,都会以你的应用提供保护。

把伪装过程变得更复杂的关键是加强验证。会话标识是验证的首要方法,同时你可以用其它数据来补充它。你可以用的所有数据只是在每个HTTP请求中的数据:<
最低0.47元/天 解锁文章
z_w_c_小文
关注
专栏目录
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
PHP安全编程系列》系列分享专栏
hello_katty的专栏
11-06 198
PHP安全编程系列收藏夹收藏了有关PHP安全编程方面的知识,对PHP安全编程提供学习参考 《PHP安全编程系列》已整理成PDF文档,点击可直接下载至本地查阅https://www.webfalse.com/read/201738.html 文章 discuz的php防止sql注入函数 php防止xss攻击的方法 PHP安全编程:register_globals的安全PHP安全编程:...
PHP系列之Session安全
Alvin
05-27 333
CentOS安装 以CentOS 6.9 为例 未完待续
php session 加密,php session cookie加密实例
weixin_32639437的博客
03-10 114
标签:session cookie之间的差别在于session可以方便的存取多种数据类型,而cookie只支持字符串类型,同时对于一些安全性比较高的数据,cookie需要进行格式化与加密存储,而session存储在服务端则安全性较高。session_start();//假设用户登录成功获得了以下用户数据$userinfo = array(‘uid‘ => 10000,‘name‘ =&gt...
PHP漏洞之session会话劫持
lifushan123的专栏
04-03 938
提交 http://www.91ri.org/ attack.php?PHPSESSID=5a6kqe7cufhstuhcmhgr9nsg45 此ID为获取到的客户session id,刷新客户页面以后客户购买的商品变成了2000 session固定攻击 黑客可以使用把session id发给用户的方式,来完成攻击 http://localhost/index.php?user=dodo&PH
关于PHPsession登录的安全问题
每天多写一点
06-04 3077
一般开发不太需要安全性的网站系统也要考虑session做登录验证的安全问题,session_id()很在传输的过程中被恶意用户挟持,伪造一个新的ID侵入系统,这里可以考虑使用session的加密验证。 第一种方法:一个标准的HTTP请求中除了host等头部必须信息,还可能包含一些可选的头部比如 Accept:text/html,application/xhtml+xml,applicati
PHP session会话的安全性分析
IT技术宅-北方的刀郎
05-19 524
PHP session会话的安全性分析 作者: 字体:[增加 减小] 类型:转载 时间:2011-09-08 我要评论 会话的用途常常是帮助用户在Web应用程序的各个部分之间跳转,(这句话说的比较不全面,其实主要是为了能共享数据。) 从而达到方便快捷的目的,但是它在存储信息的时候往往会有一些敏感的东西,这些东西可能成为被攻击的目标,如银行的账号、信用卡事务或档案记
PHP安全基础详解_php_
09-30
PHP编程中,安全是至关重要的一个方面。随着互联网技术的发展,网络安全问题变得越来越突出,因此,理解并掌握PHP安全基础对于任何Web开发者来说都是必不可少的。本篇将深入探讨PHP安全开发的基础知识和技巧。 ...
php防止恶意刷新页面的方法
u011252402的专栏
08-11 7359
php防止恶意刷新页面的方法 一般来说,恶意刷新就是不停的去刷新提交页面,导致出现大量无效数据,下面我们来总结一下php 防止恶意刷新页面方法总结。 防止恶意刷页面的原理是: 要求在页面间传递一个验证字符串,  在生成页面的时候 随机产生一个字符串,  做为一个必须参数在所有连接中传递。同时将这个字符串保存在session中。 点连接或者表单进入页面后,
PHP中的session安全吗?底层原理是什么?
最新发布
长风破浪会有时的博客
04-09 256
PHPsession机制基于Cookie实现,通过在客户端浏览器中存储一个session ID(会话ID),来跟踪每个用户的会话。具体来说,当用户第一次访问PHP应用程序时,服务器会为其分配一个唯一的session ID,并将该ID存储在客户端浏览器的Cookie中。在随机化机制中,会话ID是随机生成的字符串,使得攻击者无法猜测下一个会话ID。在默认情况下,PHP使用文件系统作为后端存储。PHP中的session机制可以被认为是相对安全的,但是需要注意一些潜在的安全问题,比如会话劫持、会话固定攻击等。
php session 加密,cookie和session的加密?
weixin_33518565的博客
03-10 642
我现在写的前后和后台登陆大量使用了cookie和session,但是我直接就放进去了,读取也直接就读取出来了,最近听老师讲课提到cookie和session加密,我不知道现在正统做法是怎么的?是cookie和session一概都加密?还有加密都不直接使用md5,而是复杂的加密,md5不安全吗,怎么不直接使用md5呢?回复讨论(解决方案)cookie 可以加密,但加密后的数据不能被 js 使用如果提...
php session 加密,PHP将RS256加密后的cookies当成session用安不安全
weixin_42499899的博客
03-10 103
题目描述将rs256加密后的cookies当成session来用,比如现阶段图片验证码加密后存在cookies,提交后解密验证,还有手机验证码,同时用http-only存入、ua、ip、过期时间等信息,就想问下这样做的人多吗,有没有人实际应用到已经运营的项目当中,从安全性上给点建议,例如cookies被截取,伪造等。我的理解是只要rs256的公钥密钥不泄露,定期签发公钥密钥,理论上是挺安全的。一般...
php中的session安全性,PHP操作Session的原理及提升安全性时的一个问题
weixin_36018119的博客
03-22 210
Session和Cookie基本介绍相同点:两者都是保存用户的临时信息,以方便用户和网站之间的交互不同点:Session保存在服务器端,只有服务器端才可查看和修改。服务器端通过客户端在cookie中携带的session_id来获得保存在服务器端的用户数据。Cookie保存在客户端,服务端和客户端都可以对其进行修改。Session的工作原理首先测试如下一段代码session_start();//开启...
php session cookie加密实例
weixin_34132768的博客
05-08 202
session cookie之间的差别在于session可以方便的存取多种数据类型,而cookie只支持字符串类型,同时对于一些安全性比较高的数据,cookie需要进行格式化与加密存储,而session存储在服务端则安全性较高。 <?php session_start(); //假设用户登录成功获得了以下用户数据 $userinfo = array( 'uid' =&...
php session是否存在被破译的可能?
zxianyong的专栏
12-22 2756
php session是否存在被破译的可能?
php 防止会员劫持,PHP中正确的会话劫持预防
weixin_39688687的博客
03-13 118
我知道这个话题已经讨论 了很多 ,但是我还有一些具体问题仍未得到解答。例如:// **PREVENTING SESSION HIJACKING**// Prevents javascript XSS attacks aimed to steal the session IDini_set('session.cookie_httponly', 1);// Adds entropy into the ...
php session警告屏蔽,php中使用session防止用户非法登录后台的方法
weixin_42628464的博客
03-10 221
本文实例讲述了php中使用session防止用户非法登录后台的方法。分享给大家供大家参考。具体如下:一般来说,我们登录网站后台时,服务器会把登录信息保存到session文件里,并通过读取session文件来判断是否可以进行后台操作。以下面为例,假如admin.php是我们的后台操作页面,如果没有启用 session,那么,即便是没有登录,用户照样能访问到该页面,这时候,就需要用到 session ...
杂记(查漏补缺)
banmao8461的博客
09-26 109
参考文章《前端面试笔试知识汇总1(含答案)》 内存泄漏 内存泄漏 指任何对象在您不再拥有或需要它之后仍然存在。 垃圾回收器 定期扫描对象,并计算引用了每个对象的其他对象的数量。如果一个对象的引用数量为 0(没有其他对象引用过该对象),或对该对象的惟一引用是循环的,那么该对象的内存即可回收。 setTimeout的第一个参数使用字符串而非函数...
PHP编程:深入理解cookie与session的区别
"PHP中cookie和session的区别实例分析,主要探讨了两者在创建、使用和清除过程中的异同,适用于PHP编程的学习者参考。" 在PHP编程中,cookie和session是两种常用的用户状态管理机制,它们各有特点,适用于不同的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值