现在我不再担心数据传输的问题 - 没有中间人,这是http和https的工作。
据我所知,PHP使用http cookie来识别会话。但是如果有人试图暴力猜测会话ID会发生什么?
3个回答
2
可以假定没有什么是安全的。
以下链接介绍了会话劫持攻击:
请注意保留 HTML 标签。
以下链接介绍了会话劫持攻击:
- http://en.wikipedia.org/wiki/Session_hijacking
- https://www.owasp.org/index.php/Session_hijacking_attack
- http://www.serversidemagazine.com/php/session-hijacking/
请注意保留 HTML 标签。
- Quamis
3
可以假设这一点,但如果你过于偏执,最终可能会为了登录而使用大量脚本。 - Mihai Iorga
会话100%不安全。无论你是多么偏执,它们都不能被视为主要的登录方法。请查看http://codebutler.com/firesheep,它将劫持您本地网络上的会话 - 这是会话有多糟糕的一个例子。 - Dave Lasley
@Mihail:多加警惕是好事。我希望所有存储我的数据的IT部门也都很谨慎。然而,我必须假设他们不是这样的。我必须假设除了我自己以外没有人会这样做。你们不要获取我的数据,离开我的草坪。你、你和你。 - Sebastian Mach
2
Andreas Bogk在大约一年前提出了一些非常合理的建议,以解决PHP版本5.3.2及更早版本中会话密钥生成逻辑的加密弱点,这使得PHP会话比它们本应该更容易受到“会话劫持”的攻击(这似乎是您主要关注的问题)。
Przemek Sobstel在4年前撰写了一个通用的攻击类型目录(包括会话劫持),针对PHP会话机制,并提出了缓解措施。最新的PHP版本已经多次更改,威胁形势也发生了变化。但自那时以来,攻击类型并没有太大改变,推荐的最佳实践也没有变化太多。
如果您想要量化风险暴露,那么您需要更准确地定义您的情景(实现、环境等)。
如果您想要量化风险暴露,那么您需要更准确地定义您的情景(实现、环境等)。
- Peter
1
PHP的伪随机数生成器(PRNG)历史颇为坎坷。请参见col shrapnel答案中的评论。 - Cheekysoft
1
但是如果有人试图通过暴力猜测会话ID,会发生什么呢?
他们会变老...
- Your Common Sense
1
1并非完全正确。PHP在不足熵漏洞方面历史较差(https://www.owasp.org/index.php/Insufficient_entropy_in_pseudo-random_number_generator)。请参阅安全漏洞数据库cvedetails中的此搜索http://cvedetails.com/google-search-results.php?cx=partner-pub-9597443157321158%3Advjtec-wfv5&cof=FORID%3A9&ie=UTF-8&q=php+entropy&sa=Search&siteurl=www.cvedetails.com%2Fcve%2FCVE-2008-4102%2F。这甚至被一些应用程序弱化了,例如Joomla http://www.cvedetails.com/cve/CVE-2008-4102/。 - Cheekysoft
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接