php 如何建一个安全的会话机制?
研究了几天session安全,得出几个观点,请指正:
1.可以xss通过获得cookie信息,包含sessionid
2.可以通过截取http,获得header信息,包含sessionid
3.以上两种法都有一定条件和难度
4.如果服务端单靠sessionid识别会话信息,那么通过xss获取了sessionid后,会泄露用户信息,如果再通过ip,useragent信息加以校验,可以减少风险
5.如果截取了http,换用https方式可以减少风险
6.即便是使用https,ssl证书也是可以伪造
结论:
1.xss漏洞更低级一些,但是造成的风险很大。
2.http截取,截取范围很小,风险小。当然,截取到admin的信息,那就不一样了。
3.http截取/ssl证书伪造的技术要求、环境要求较高,防治的成本也大。
写回答
-
喜欢技术,喜欢努力的人1.XSS可以通过给sessionid cookie设置 httponly 来防止。
2.监听http包的,校验IP是一种还不错的办法。因为通常用session做登录都不会持续很长时间,IP通常不会发生变化。admin登录的话,最好不要与前台系统做在一起,独立域名、特殊端口、限制IP/VPN内网、手机短信随机验证码等等方法都可以增强安全性。
3.https的伪造证书监听,这个貌似只能获取到被欺骗用户提交的数据,因为证书本身验证的是服务器端的可信度。当然如果已经把客户端与服务端网络完全切断,加入了中间代理并伪造了服务器证书,这个应该仍然可以通过认证IP、SSL客户端证书来解决……这个不是很明白,恳请大神讲解。另外,sessionid的随机性不够被猜到也是session的潜在安全问题之一。
2019-07-17 19:37:07赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
