Wie können wir die Fixierung und Entführung von PHP-Sitzungen verhindern?

PHP-Sitzungsfixierung und -Hijacking: Prävention und Schadensbegrenzung

Sitzungsfixierung

Es kommt zu einer Sitzungsfixierung wenn ein Angreifer absichtlich die Sitzungskennung für einen Benutzer festlegt. Dies schwächt die Sicherheit der Sitzung, da Angreifer die vordefinierte Kennung verwenden können, um sich als Benutzer auszugeben. Um eine Sitzungsfixierung zu verhindern:

1. Sitzungsübertragung in URLs deaktivieren:Setzen Sie session.use_trans_sid in Ihrer php.ini auf 0.
2. Cookies einschränken für Sitzungsspeicher: Setzen Sie session.use_only_cookies auf 1 in php.ini.
3. Sitzungs-ID neu generieren: Rufen Sie session_regenerate_id(true) auf, wenn sich der Status der Sitzung ändert (z. B. nach der Anmeldung).

Sitzung Hijacking

Session Hijacking ist der Akt des Erhaltens eines gültige Sitzungskennung und deren Verwendung zum Senden von Anfragen als ursprünglicher Benutzer. Obwohl es nicht möglich ist, Session Hijacking direkt zu verhindern, können mehrere Maßnahmen es schwieriger machen:

1. Starkes Hashing: Setzen Sie session.hash_function auf einen starken Algorithmus wie SHA256 oder SHA512 in PHP. ini.
2. Hash-Bits erhöhen:Setzen session.hash_bits_per_character auf 5, um das Erraten von Sitzungs-IDs schwieriger zu machen.
3. Einschluss von Entropie: Fügen Sie der Sitzungs-ID Entropie hinzu, indem Sie session.entropy_file auf /dev/urandom und session.entropy_length auf a setzen passende Nummer.
4. Benutzerdefinierte Sitzung Name:Ändern Sie den Sitzungsnamen von der Standard-PHPSESSID mit session_name().
5. Rotation:Rotieren Sie die Sitzungs-ID regelmäßig, um die Sitzungsdauer eines Angreifers zu verkürzen.
6. Benutzer-Agent-Prüfung: Beziehen Sie den Browser-Agenten des Benutzers ein ($_SERVER['HTTP_USER_AGENT']) in der Sitzung und überprüfen Sie es bei nachfolgenden Anfragen.
7. IP-Adressverfolgung: Speichern Sie die IP-Adresse des Benutzers ($_SERVER['REMOTE_ADDR']) in die Sitzung und vergleichen Sie sie mit nachfolgenden Anfragen.
8. Token-Vergleich: Generieren Sie ein Token sowohl für die Sitzung als auch für die Browserseite. Erhöhen und vergleichen Sie das Token bei jeder Anfrage.

Sitzungsregeneration

Durch die Neugenerierung der Sitzungs-ID mit session_regenerate_id(true) werden auch die alten Sitzungsdaten ungültig. Daher ist diese Aktion ausreichend, wenn eine Sitzungsstatusänderung auftritt.

Gründliche Sitzungszerstörung

Wenn Sie eine Sitzung beenden, verwenden Sie destroySession() anstelle von session_destroy() für eine gründliche Sitzung Entfernen Sie alle Spuren sowohl vom Browser als auch vom Server:

function destroySession() {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params['path'], $params['domain'],
        $params['secure'], $params['httponly']
    );
    session_destroy();
}

Das obige ist der detaillierte Inhalt vonWie können wir die Fixierung und Entführung von PHP-Sitzungen verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!