Bagaimanakah Kami Boleh Mencegah Penetapan Sesi PHP dan Rampasan?

Penetapan Sesi PHP dan Rampasan: Pencegahan dan Mitigasi

Penetapan Sesi

Penetapan sesi berlaku apabila penyerang sengaja menetapkan pengecam sesi untuk pengguna. Ini melemahkan keselamatan sesi kerana penyerang boleh menggunakan pengecam yang dipratentukan untuk menyamar sebagai pengguna. Untuk mengelakkan penetapan sesi:

1. Lumpuhkan Penghantaran Sesi dalam URL: Tetapkan session.use_trans_sid kepada 0 dalam php.ini anda.
2. Hadkan Kuki untuk Storan Sesi: Tetapkan session.use_only_cookies kepada 1 in php.ini.
3. Jana Semula ID Sesi: Panggil session_regenerate_id(true) setiap kali status sesi berubah (cth., selepas log masuk).

Sesi Rampasan

Rampasan sesi ialah tindakan mendapatkan pengecam sesi yang sah dan menggunakannya untuk menghantar permintaan sebagai pengguna asal. Walaupun menghalang rampasan sesi secara langsung tidak mungkin, beberapa langkah boleh menyukarkannya:

1. Pencincangan Kuat: Tetapkan session.hash_function kepada algoritma yang kukuh seperti SHA256 atau SHA512 dalam php. ini.
2. Tingkatkan Hash Bit: Set session.hash_bits_per_character hingga 5 untuk menjadikan ID sesi meneka lebih mencabar.
3. Kemasukan Entropi: Tambahkan entropi pada ID sesi dengan menetapkan session.entropy_file ke /dev/urandom dan session.entropy_length kepada a nombor yang sesuai.
4. Sesi Tersuai Nama: Tukar nama sesi daripada PHPSESSID lalai menggunakan session_name().
5. Putaran: Putar ID sesi secara berkala untuk mengurangkan tempoh sesi penyerang.
6. Semakan Ejen Pengguna: Sertakan ejen penyemak imbas pengguna ($_SERVER['HTTP_USER_AGENT']) dalam sesi dan semaknya pada permintaan berikutnya.
7. Penjejakan Alamat IP: Simpan alamat IP pengguna ($_SERVER['REMOTE_ADDR']) dalam sesi dan semaknya terhadap permintaan seterusnya.
8. Token Perbandingan: Jana token untuk kedua-dua sesi dan bahagian penyemak imbas. Naikkan dan bandingkan token pada setiap permintaan.

Penjanaan Semula Sesi

Menjana semula ID sesi menggunakan session_regenerate_id(true) turut membatalkan data sesi lama. Oleh itu, tindakan ini adalah mencukupi apabila perubahan status sesi berlaku.

Pemusnahan Sesi Teliti

Apabila menamatkan sesi, gunakan destroySession() dan bukannya session_destroy() untuk secara menyeluruh alih keluar semua kesan daripada pelayar dan pelayan:

function destroySession() {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params['path'], $params['domain'],
        $params['secure'], $params['httponly']
    );
    session_destroy();
}

Atas ialah kandungan terperinci Bagaimanakah Kami Boleh Mencegah Penetapan Sesi PHP dan Rampasan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!