60 lines
5.2 KiB
Markdown
60 lines
5.2 KiB
Markdown
---
|
||
title: Session Identifier Acquirement
|
||
localeTitle: Приобретение идентификатора сеанса
|
||
---
|
||
## Приобретение идентификатора сеанса
|
||
|
||
Идентификатор сеанса Приобретение - это уязвимость, вызванная тем, что злоумышленник может либо угадать идентификатор сеанса пользователя, либо использовать уязвимости в самом приложении или в браузере пользователя для получения идентификатора сеанса. Эта атака является предварительным условием для выполнения атаки на захват сеанса.
|
||
|
||
### пример
|
||
|
||
У злоумышленника есть несколько вариантов выполнения атаки на получение идентификатора сеанса.
|
||
|
||
* Угадайте идентификатор: короткий и допустимый идентификатор сеанса может позволить злоумышленнику перевести идентификатор сеанса и войти в него.
|
||
* Атака на браузер: если вы храните идентификатор сеанса в кукисах браузера - если ваш сайт уязвим для межсайтового скриптинга, злоумышленник может использовать эту уязвимость для сбора куки-файлов с идентификаторами сеансов и доступа к областям с высоким уровнем привилегий (например, панель администратора) ,
|
||
* Изменение идентификатора на выбор злоумышленника: в более старых версиях PHP вы могли установить идентификатор сеанса в URL-адресе. Теперь он отключен по умолчанию, если у вас есть сомнения, убедитесь, что `session.use_trans_sid` является ложным. Это уже не обычная проблема, но все равно это может произойти, лучше, чем жаль.
|
||
|
||
### Защита от атак Session Identifier в PHP
|
||
|
||
Для защиты от атак типа «Идентификатор сеанса» вам необходимо проверить попытку доступа к сеансу с несколькими факторами, чтобы убедиться, что это законный доступ и чтобы пользователь не смог успешно захватить сеанс пользователя. Ниже приведен пример реализации, который может помочь смягчить последствия атаки на получение идентификатора сеанса. Он проверяет IP-адрес, Пользовательский агент, и если сеанс Истек, удаление сеанса перед его приобретением.
|
||
|
||
```PHP
|
||
<?php
|
||
session_start();
|
||
|
||
// Does IP Address match?
|
||
if ($_SERVER['REMOTE_ADDR'] != $_SESSION['ipaddress'])
|
||
{
|
||
session_unset();
|
||
session_destroy();
|
||
}
|
||
|
||
// Does user agent match?
|
||
if ($_SERVER['HTTP_USER_AGENT'] != $_SESSION['useragent'])
|
||
{
|
||
session_unset();
|
||
session_destroy();
|
||
}
|
||
|
||
// Is the last access over an hour ago?
|
||
if (time() > ($_SESSION['lastaccess'] + 3600))
|
||
{
|
||
session_unset();
|
||
session_destroy();
|
||
}
|
||
else
|
||
{
|
||
$_SESSION['lastaccess'] = time();
|
||
}
|
||
```
|
||
|
||
**Подсказки:**
|
||
|
||
* Храните много информации о текущем сеансе (строка агента пользователя, IP-адрес, время последнего доступа и т. Д.).
|
||
* Проверяйте каждый запрос в отношении информации, хранящейся в сеансе (соответствует ли она? Если не удалять сеанс и требуется повторная регистрация пользователя)
|
||
* Сеансы не должны длиться вечно - они должны истечь в определенный момент, чтобы поддерживать безопасность сеанса.
|
||
* Скорость ограничивает количество сеансов, к которым пользователь может попытаться получить доступ (пользователь попытался получить доступ к 1000 + недействительным сеансам? Скорее всего, они угадывают - не позволяйте IP-адресу пытаться больше сеансов в течение нескольких часов).
|
||
|
||
#### Дополнительная информация:
|
||
|
||
* [Руководство по безопасности сессии php.net](https://secure.php.net/manual/en/session.security.php) |