PHP 세션은 안전한가요? _php 팁-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

PHP 세션은 안전한가요? _php 팁

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 16, 2016 pm 07:59 PM

php

저는 오랫동안 PHP 개발을 해왔지만 보안 문제에 대해 별로 관심을 두지 않았습니다. 저는 항상 프로젝트를 완료하는 데 집중했습니다. 최근 인터넷에서 보안에 관한 기사를 읽은 후 깨달았습니다. 이전에 모든 프로젝트가 보안상 큰 취약점을 가지고 있어서 하나의 프로젝트를 골라서 테스트해 보았는데, 쉽게 잡힐 수 있었습니다. 여기에서는 PHP 세션이 어떻게 안전하지 않은지, 그리고 프로젝트에서 보안을 강화하는 방법을 설명하기 위해 제가 작성한 테스트 예제를 공유하겠습니다.
세션의 원리와 메커니즘에 대해서는 인터넷에 소개된 좋은 글이 많이 있는데, 우리가 직접 확인해 볼 수 있습니다. 직접 테스트할 수 있는 예시를 공유해 보겠습니다.
이 테스트의 예는 주로 로그인 페이지이며, 비밀번호를 변경할 수 있는 간단한 기능입니다.
인터페이스는 다음과 같습니다

먼저 프로젝트 입구에서 session_start() 함수를 사용하여 세션을 엽니다. 이러한 방식으로 클라이언트가 요청을 시작하면 SessionID라는 ID 식별자가 생성됩니다. 이는 쿠키를 통해 클라이언트에 저장됩니다. 클라이언트와 서버 간의 각 통신은 식별을 위해 이 SessionID에 의존합니다.
로그인에 성공하면 사용자 ID와 사용자 이름이 세션에 저장됩니다

$_SESSION[‘userid'] = 用户id
$_SESSION[‘uname'] = 用户名

향후 모든 작업에서는 $_SESSION['userid']가 존재하는지 판단하여 사용자가 로그인했는지 여부를 확인합니다. 코드는 다음과 같습니다.

if(isset($_SESSION['userid'])) return true;

비밀번호 수정 인터페이스에 대한 호출은 Ajax Post를 통해 서버로 데이터를 전송합니다.

$.post("接口*******",
  {
     oldpass:oldpass,
     newpass:newpass,
     userid:uid,
  },
  function(data){
     data = eval('(' +data+ ')');
     $('.grant_info').html(infos[data.info]).show();
  }
);

참고로 이 코드는 html 페이지에 작성했기 때문에 html 코드를 보면 인터페이스 주소를 알 수 있습니다.
비밀번호 변경을 위한 인터페이스는 이렇게 구현됩니다. 먼저 사용자가 로그인되어 있는지 판단합니다. 사용자가 로그인되어 있으면 비밀번호 수정 작업이 수행됩니다.
테스트 예시의 구현 아이디어는 대략 위에서 설명한 바와 같습니다.
SessionID 공격 사용
1. 첫 번째는 SessionID를 얻는 방법입니다. 물론 공격자가 이 ID를 얻는 방법은 여러 가지가 있습니다. 제 수준이 제한되어 있으므로 여기서는 얻는 방법을 소개하지 않겠습니다. 먼저 이 프로젝트에 정상적으로 접속한 후, 브라우저를 통해 SessionID를 확인하여 합법적인 사용자 ID를 얻으면 시뮬레이션할 수 있습니다. 이 ID는 요청 헤더
에서 확인할 수 있습니다.

 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: Hm_lvt_bf1154ec41057869fceed66e9b3af5e7=1450428827,1450678226,1450851291,1450851486; PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7;
Host: ******
Referer: ******
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0

세션 ID를 얻은 후 사용자가 성공적으로 로그인하면 사용자 정보가 서버 측 세션에 남게 됩니다.
2. SessionID를 획득한 후, 공격자가 이미 비밀번호 변경 인터페이스를 알고 있다면, 사용자의 비밀번호를 직접 변경할 수 있다. 공격자가 아직 인터페이스 주소를 획득하지 못한 경우에는 페이지 코드를 통해 인터페이스 주소를 알아낼 수 있다. 다음 명령을 사용할 수 있습니다

#curl --cookie "PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7" 页面地址

위에서 말했듯이 이 예에서는 ajax 코드가 html 페이지에 작성되어 있으므로 이 페이지에서 인터페이스 주소를 볼 수 있습니다
HTML 코드의 일부는 다음과 같습니다

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
……
var uid = $(".userid").val();
$.post("/User/User/modifypass_do",
     {
        oldpass:oldpass,
        newpass:newpass,
        userid:uid,
     },
    function(data){
      data = eval('(' +data+ ')');
      $('.grant_info').html(infos[data.info]).show();
    }
 );
……
<span><input type="password" name="oldpass" id="textfield_o" placeholder="原密码"></span>
<span><input type="password" name="newpass" id="textfield_n" placeholder="新密码"></span>
<span><input type="password" name="confirmpass" id="textfield_c" placeholder="确认密码"></span>
<input type="button" class="btn_ok" value="确认修改" />

3. 인터페이스를 얻은 후 컬을 사용하여 게시물을 시뮬레이션하여 비밀번호 변경을 위한 데이터를 보낼 수 있습니다
명령어는 다음과 같습니다

# curl --cookie "PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7" -d oldpass=111111 -d newpass=000000 -d userid=用户id 接口地址

이 사용자가 이미 로그인되어 있는 경우 공격자는 위 명령을 실행하여 사용자의 비밀번호를 변경할 수 있습니다.
솔루션
위의 공격에 대해서는 검증 방법을 복잡하게 하여 보안을 강화할 수 있습니다. 한 가지 방법은 요청 헤더의 User-Agent 항목을 사용하여 보안을 강화하는 것입니다

 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
Cookie: Hm_lvt_bf1154ec41057869fceed66e9b3af5e7=1450428827,1450678226,1450851291,1450851486; PHPSESSID=2eiq9hcpu3ksri4r587ckt9jt7;
Host: ******
Referer: ******
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0

프로젝트 초반에는 session_start() 함수를 사용하여 세션을 시작했습니다. 이제 session_start() 아래에 이 코드를 추가할 수 있습니다

$_SESSION[‘User_Agent'] = md5($_SERVER[‘HTTP_USER_AGENT']);

그러면 로그인 여부를 판단할 때마다 다음 판단 조건을 추가하세요

If(isset($_SESSION[‘userid']) && $_SESSION[‘User_Agent'] == md5($_SERVER[‘HTTP_USER_AGENT'])){
    return true;
}

이렇게 하면 위에서 언급한 단순 공격을 피할 수 있습니다.
요약:
물론 실제 공격은 그렇게 단순하지 않습니다. 첫째, SessionID를 얻기가 어렵습니다. 그런 다음 위와 같은 상황을 피하기 위해 서버와 상호 작용하는 코드를 최대한 암호화해야 합니다. 두 번째로 코드를 수정한 후에는 공격의 복잡성을 높일 수 있지만 공격을 제거할 수는 없습니다. 공격 방법은 여러 가지가 있습니다. 이는 단순한 방법일 뿐이며 원칙은 동일합니다. 실제 상황에서는 실제 상황에 따라 우리 코드의 보안이 강화될 수 있습니다.

여기에서는 직장에서 겪은 문제를 공유하고 있으며, 모두가 더 깊이 배울 수 있기를 바랍니다.

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

PHP의 현재 상태 : 웹 개발 동향을 살펴보십시오Apr 13, 2025 am 12:20 AM

PHP는 현대 웹 개발, 특히 컨텐츠 관리 및 전자 상거래 플랫폼에서 중요합니다. 1) PHP는 Laravel 및 Symfony와 같은 풍부한 생태계와 강력한 프레임 워크 지원을 가지고 있습니다. 2) Opcache 및 Nginx를 통해 성능 최적화를 달성 할 수 있습니다. 3) PHP8.0은 성능을 향상시키기 위해 JIT 컴파일러를 소개합니다. 4) 클라우드 네이티브 애플리케이션은 Docker 및 Kubernetes를 통해 배포되어 유연성과 확장 성을 향상시킵니다.

PHP 대 기타 언어 : 비교Apr 13, 2025 am 12:19 AM

PHP는 특히 빠른 개발 및 동적 컨텐츠를 처리하는 데 웹 개발에 적합하지만 데이터 과학 및 엔터프라이즈 수준의 애플리케이션에는 적합하지 않습니다. Python과 비교할 때 PHP는 웹 개발에 더 많은 장점이 있지만 데이터 과학 분야에서는 Python만큼 좋지 않습니다. Java와 비교할 때 PHP는 엔터프라이즈 레벨 애플리케이션에서 더 나빠지지만 웹 개발에서는 더 유연합니다. JavaScript와 비교할 때 PHP는 백엔드 개발에서 더 간결하지만 프론트 엔드 개발에서는 JavaScript만큼 좋지 않습니다.

PHP vs. Python : 핵심 기능 및 기능Apr 13, 2025 am 12:16 AM

PHP와 Python은 각각 고유 한 장점이 있으며 다양한 시나리오에 적합합니다. 1.PHP는 웹 개발에 적합하며 내장 웹 서버 및 풍부한 기능 라이브러리를 제공합니다. 2. Python은 간결한 구문과 강력한 표준 라이브러리가있는 데이터 과학 및 기계 학습에 적합합니다. 선택할 때 프로젝트 요구 사항에 따라 결정해야합니다.

PHP : 웹 개발의 핵심 언어Apr 13, 2025 am 12:08 AM

PHP는 서버 측에서 널리 사용되는 스크립팅 언어이며 특히 웹 개발에 적합합니다. 1.PHP는 HTML을 포함하고 HTTP 요청 및 응답을 처리 할 수 있으며 다양한 데이터베이스를 지원할 수 있습니다. 2.PHP는 강력한 커뮤니티 지원 및 오픈 소스 리소스를 통해 동적 웹 컨텐츠, 프로세스 양식 데이터, 액세스 데이터베이스 등을 생성하는 데 사용됩니다. 3. PHP는 해석 된 언어이며, 실행 프로세스에는 어휘 분석, 문법 분석, 편집 및 실행이 포함됩니다. 4. PHP는 사용자 등록 시스템과 같은 고급 응용 프로그램을 위해 MySQL과 결합 할 수 있습니다. 5. PHP를 디버깅 할 때 error_reporting () 및 var_dump ()와 같은 함수를 사용할 수 있습니다. 6. 캐싱 메커니즘을 사용하여 PHP 코드를 최적화하고 데이터베이스 쿼리를 최적화하며 내장 기능을 사용하십시오. 7

PHP : 많은 웹 사이트의 기초Apr 13, 2025 am 12:07 AM

PHP가 많은 웹 사이트에서 선호되는 기술 스택 인 이유에는 사용 편의성, 강력한 커뮤니티 지원 및 광범위한 사용이 포함됩니다. 1) 배우고 사용하기 쉽고 초보자에게 적합합니다. 2) 거대한 개발자 커뮤니티와 풍부한 자원이 있습니다. 3) WordPress, Drupal 및 기타 플랫폼에서 널리 사용됩니다. 4) 웹 서버와 밀접하게 통합하여 개발 배포를 단순화합니다.

과대 광고 : 오늘 PHP의 역할을 평가합니다Apr 12, 2025 am 12:17 AM

PHP는 현대적인 프로그래밍, 특히 웹 개발 분야에서 강력하고 널리 사용되는 도구로 남아 있습니다. 1) PHP는 사용하기 쉽고 데이터베이스와 완벽하게 통합되며 많은 개발자에게 가장 먼저 선택됩니다. 2) 동적 컨텐츠 생성 및 객체 지향 프로그래밍을 지원하여 웹 사이트를 신속하게 작성하고 유지 관리하는 데 적합합니다. 3) 데이터베이스 쿼리를 캐싱하고 최적화함으로써 PHP의 성능을 향상시킬 수 있으며, 광범위한 커뮤니티와 풍부한 생태계는 오늘날의 기술 스택에 여전히 중요합니다.

PHP의 약한 참고 자료는 무엇이며 언제 유용합니까?Apr 12, 2025 am 12:13 AM

PHP에서는 약한 참조가 약한 회의 클래스를 통해 구현되며 쓰레기 수집가가 물체를 되 찾는 것을 방해하지 않습니다. 약한 참조는 캐싱 시스템 및 이벤트 리스너와 같은 시나리오에 적합합니다. 물체의 생존을 보장 할 수 없으며 쓰레기 수집이 지연 될 수 있음에 주목해야합니다.

PHP의 __invoke 마법 방법을 설명하십시오.Apr 12, 2025 am 12:07 AM

\ _ \ _ 호출 메소드를 사용하면 객체를 함수처럼 호출 할 수 있습니다. 1. 객체를 호출 할 수 있도록 메소드를 호출하는 \ _ \ _ 정의하십시오. 2. $ obj (...) 구문을 사용할 때 PHP는 \ _ \ _ invoke 메소드를 실행합니다. 3. 로깅 및 계산기, 코드 유연성 및 가독성 향상과 같은 시나리오에 적합합니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

맨티스BT

Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.