PHP中的会话劫持是如何工作的？

有很多好问题，你能问出这些问题非常棒。

首先，一个“session”只是一个cookie。'session' 不是HTTP协议栈的一部分。 PHP只是恰巧提供了一些方便来处理cookies，因此引入了sessions。PHP选择PHPSESSID作为cookie的默认名称，但您可以选择任何您想要的名称。即使在PHP中，您也可以更改session_name。

攻击者需要做的就是获取您正在查看的session cookie，并在其自己的浏览器中使用它。攻击者可以使用自动化脚本或例如使用firebug，您可以更改当前cookie值。

所以，如果我有您的id..如果您没有采取任何预防措施，我就可以窃取您的session。

然而..对于攻击者来说，最难的部分是首先获取cookie。攻击者无法做到这一点，除非：

• 他们可以访问您的计算机
• 他们以某种方式能够窃听您的网络流量。

第一部分很难解决..您可以做一些技巧来识别启动会话的计算机（检查用户代理是否更改，检查IP地址是否更改），但没有无懈可击或不那么好的解决方案。

您可以通过确保所有流量都使用HTTPS加密来解决第二个问题。几乎没有理由不使用HTTPS。如果您的网站上有“已登录”区域，请使用SSL！

我希望这种方式回答了您的问题..我现在想到了一些其他要点：

• 每当用户登录时，给他们一个新的session id
• 每当用户退出时，也给他们一个新的session id！
• 确保浏览器在任何情况下都无法确定session cookie的值。如果您不认识cookie，则重新生成一个新的cookie！

如果您使用相同的IP和浏览器，您只需要复制会话ID（也许还有其他cookie值：不确定是否跟踪/比较浏览器特定的事物，如其代理字符串；这取决于实现）。
一般来说，有不同的跟踪用户的方法（最终都是用户跟踪）。例如，您可以在网页中使用cookie或某些隐藏的值。您还可以使用HTTP GET请求中的值、Flash cookie或其他身份验证方法（或这些方法的组合）。
在Facebook的情况下，他们使用了几个cookie值，所以我会假设他们使用其中之一（例如“xs”）。
总的来说，没有真正的100%安全方法（例如由于中间人攻击），但总体上，我会执行以下操作：
- 在登录时，存储用户的IP地址、浏览器代理字符串和一个唯一令牌（编辑评论以上：您也可以跳过IP地址；使整个过程稍微不那么安全）。 - 在客户端存储用户的唯一ID（例如用户ID）和该令牌（在cookie或GET值中）。 - 只要第一步中存储的数据匹配，就是同一用户。要注销，只需从数据库中删除令牌即可。
哦，顺便提一下：所有这些东西都不是PHP特定的。它们可以用任何服务器端语言（Perl、PHP、Ruby、C#等）或通用服务器来完成。

某人嗅探了会话ID cookie并将其设置为后续请求。如果这是唯一验证用户的东西，他们就已经登录了。

大多数网站将使用基于cookie的身份验证。有几种方法可以使其更安全，例如在用户登录时存储关于用户浏览器的信息(例如用户代理、IP地址)。如果有人尝试复制cookie，那么它将无法起作用(当然，也有办法绕过此限制)。您还将看到会话cookie被定期重新生成，以确保它们的有效期不会特别长。

请查看Firesheep，这是一个Firefox扩展，用于执行会话劫持。我不建议您使用它，但您可能会发现该页面上的讨论很有趣。