一尘不染

防止会话劫持

php

如何防止多个客户端使用相同的会话ID?我之所以这样询问,是因为我想增加一层安全保护,以防止网站上的会话劫持。如果黑客以某种方式弄清楚另一个用户的会话ID并使用该SID发出请求,我如何检测到服务器上有不同的客户端共享一个SID,然后拒绝劫持尝试?

编辑

经过深思熟虑后,我接受了Gumbo的回答,因为我意识到由于 无状态HTTP协议
的限制,我所要求的是不可能的。我忘了HTTP的最基本原理是什么,现在我想到这个问题似乎有点琐碎。

让我详细说明一下我的意思:

用户A登录example.com后,会为他提供一些随机会话ID,为简单起见,将其设为“
abc123”。该会话ID在客户端存储为cookie,并通过服务器端会话进行验证,以确保登录的用户在从一个网页移动到另一个网页时仍保持登录状态。如果HTTP不是无状态的,则此cookie当然不需要存在。因此,如果用户B窃取了用户A的SID,并在其计算机上创建了一个值为’abc123’的cookie,那么他本可以成功劫持用户A的会话,但是服务器根本无法合法地识别出用户B的会话。该请求与用户A的请求有任何不同,因此服务器没有理由拒绝任何请求。即使我们要列出服务器上已经处于活动状态的会话,并尝试查看某人是否正在访问已处于活动状态的会话,我们如何才能确定是另一个用户在非法访问该会话而不是同一用户谁已经使用会话ID登录,但只是尝试使用它发出另一个请求(即导航到另一个网页)。我们不能。检查用户代理?可以被欺骗-
但是作为深度防御措施还是不错的。IP地址?可以出于正当理由进行更改-
但我建议不要检查IP地址的前两个八位字节,而不必完全检查IP地址,因为即使是出于完全正当理由而不断更改IP的数据计划网络用户通常只具有其IP更改的最后两个八位位组。

最后,无状态HTTP谴责我们永远无法完全保护我们的网站免受会话劫持,但是良好的做法(如Gumbo提供的做法)将足以防止大多数会话攻击。因此,试图通过拒绝同一SID的多个请求来保护会话免遭劫持,这简直是荒谬的,并且会破坏会话的整个目的。


阅读 301

收藏
2020-05-26

共1个答案

一尘不染

不幸的是,与真正的请求相反,没有有效的方法来明确地标识出源自攻击者的请求。因为大多数反措施检查的属性(例如IP地址或用户代理特征)要么都不可靠(IP地址可能在多个请求中更改),要么很容易伪造(例如
User-Agent 请求标头),因此可能会产生不必要的误报(即真正的用户切换IP地址)或否定否定(即攻击者能够使用相同的 User-Agent
成功伪造请求)。

这就是为什么防止会话劫持的最佳方法是确保攻击者无法找到其他用户的会话ID。这意味着您应该设计您的应用程序及其会话管理,以使(1)攻击者无法通过使用足够的熵来猜测有效的会话ID,以及(2)攻击者没有其他方法可以通过已知的攻击获得有效的会话ID。
/漏洞,例如嗅探网络通信,跨站点脚本,通过 Referer 泄漏等。

也就是说,您应该:

除此之外,您还应该在某些会话状态更改(例如,登录后确认真实性或更改授权/特权)后使旧的ID(请参见session_regenerate_id函数)无效的同时重新生成会话ID,此外,您还可以定期执行此操作以减少时间跨度成功进行会话劫持攻击。

2020-05-26