伪装会话/Cookie? [英] Faking Session/Cookies?

问题描述

我不确定$_SESSION在PHP中的工作方式.我假设它是浏览器上的cookie，与服务器上的唯一密钥相匹配.是否可以伪造该密码并通过仅使用会话来标识用户的登录名.

I'm not exactly sure how the $_SESSION work in PHP. I assume it is a cookie on the browser matched up with an unique key on the server. Is it possible to fake that and by pass logins that only uses sessions to identify the user.

如果$_SESSION不能那样工作，有人可以伪造cookie并绕过登录吗?

If $_SESSION doesn't work like that, can someone potentially fake cookies and bypass logins?

推荐答案

是.

唯一标识用户的是与每个请求一起发送的伪随机值. 如果攻击者可以猜测要发送的正确值，那么他就可以冒充其他人.

The only thing identifying a user is a pseudo-random value being sent along with each request. If an attacker can guess the right values to send, he can pose as somebody else.

有多种方法可以使此操作更困难:

There are different ways to make this harder:

• 使会话ID更长(熵更大，更难猜测)
• 检查其他信息，例如用户代理(基本上是熵)
• 显然:使用一个好的随机数生成器
• 尽快终止会话，以便在任何时候提供较小的一组有效会话ID
• 经常更新会话ID，即使是有效的ID
• 使用SSL加密所有通信，以避免完全的cookie劫持

这篇关于伪装会话/Cookie?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！