Przejęcie sesji PHP i jej metody

Question

Próbowałem zbudować własną, bezpieczną klasę sesji PHP, kiedy naprawdę zastanawiałem się, co powstrzymuje kogoś przed emulowaniem sesji?

IE, dlaczego nie jest kod na test.php

$_SESSION['logged_in'] = true; 

nie być w stanie pracować na index.php gdzie

if($_SESSION['logged_in'] == True){ 
echo 'logged in'; 
} 

Rozumiem, że sposób o to, aby zabezpieczyć sesja poprzez wygenerowanie bezpiecznego identyfikatora przez zablokowanie go do adresu IP i klienta użytkownika, ale jak dokładnie to działa?

Czy byłbym w stanie odgadnąć identyfikator sesji, który byłby w stanie ustawić $ _SESSION ['logged_in'] = true i emulować login? Czy powinienem zmienić zmienną SESJA, aby sprawdzić, czy logowanie jest bezpieczniejsze?

Przepraszam za moje pytania i nadzieję, że jakiś sens ...

Answer 1

Przede wszystkim dane sesji są przechowywane tylko na serwerze, więc klient zewnętrzny nie może po prostu utworzyć własnych danych sesji i wysłać go na serwer.

Sprowadza się to do rzeczywistego zgadywania identyfikatora sesji kogoś innego i zakładania własnej tożsamości; jest to dość trudne, ale nie niemożliwe. W sytuacji, w której atakujący może wykorzystać ruch sieciowy między ofiarą a serwerem, nie można ich zatrzymać.

Istnieje kilka rzeczy, które można przyjąć, aby rzeczy bezpieczniej, choć:

1. Użyj SSL; patrz także session.cookie_secure.
2. Generowanie identyfikatorów z dobrego losowego źródła, tj. /dev/urandom na komputerach z systemem Linux; patrz także session.entropy_file.
3. Ponownie generuje identyfikator, gdy użytkownik się loguje lub wylogowuje; zobacz także session_regenerate_id()
4. Użyj HttpOnly cookies (i tylko ciasteczek), aby utrwalić identyfikator sesji; patrz także session.use_only_cookies i session.cookie_httponly.
5. Sesje ścisłe; patrz także session.use_strict_mode.

6. Zachowaj obliczoną wartość skrótu agenta użytkownika w sesji i upewnij się, że się nie zmienia, np.:

   $_SESSION['_agent'] = sha1($_SERVER['HTTP_USER_AGENT']); 
   

7. Spróbuj zmniejszyć żywotność sesji jak najkrótszy i użyć zaawansowanych "remember me" feature zregenerować sesje jak ich wygaśnięcia.

Ważne jest również, aby wiedzieć, kiedy miało miejsce porwanie i podjąć odpowiednie działania, gdy tak się stanie. Będziesz musiał śledzić, które sesje należą do którego użytkownika, aby można unieważnić wszystkie z nich, gdy jeden z nich został naruszony.

Przy okazji zablokowanie sesji na adres IP jest trudne; niektórzy dostawcy usług internetowych sprawią wrażenie, że użytkownik pochodzi z różnych adresów lub wielu użytkowników pochodzi z tego samego adresu. Tak czy inaczej, lepiej będzie śledzić agenta użytkownika, ponieważ jest to mniej prawdopodobne, aby się zmienić.

Answer 2

odgadywanie identyfikator sesji nie jest sesja porwanie. To trudniejsze niż odgadnięcie hasła. Ale tak, jeśli ktoś uzyskał identyfikator sesji, uzyskałby pełny dostęp do danego konta.

Blokowanie za pomocą adresu identyfikatora oznacza po prostu przechowywanie oryginalnego adresu IP, którego używał użytkownik po zalogowaniu się w sesji, i sprawdzenie go na początku każdego żądania, aby sprawdzić, czy nie uległo zmianie. W ten sposób, nawet jeśli atakujący uzyska prawidłowy identyfikator sesji, nadal nie będzie mógł z niego skorzystać.

Istnieje dobra Wikipedia article on the topic, a także powiązane pytania dotyczące StackOverflow: 1, 2.