セッションのハイジャックと固定化の防止について話し合う多くのスレッドを調べましたが、見逃している詳細が常にあると感じています。
私が探しているのは、HTML Purifier が XSS に対して行うのと同じ原則を持つものですが、この場合はセッションのハイジャックと修正に対してです。
セッションのハイジャックと修正を防止するためにできることすべてをカバーする API または PHP クラスは誰かによって作成されていますか?
それとも自分でやったほうがいいですか?
前もって感謝します。よろしく
3 に答える
1
セッション ハイジャックとは、攻撃者がユーザーのセッション Cookie を読み取り、そのセッション Cookie を手段として使用してアプリケーションにアクセスできる場合です。攻撃者がこれを行うのを防ぐ唯一の方法は、すべてに HTTPS を使用することです。使用する API はありません。中間の状況で man をセットアップできる場合に、誰かがセッション cookie を盗むのを防ぐためにアプリケーションがそれ以外にできることは何もないからです。
于 2012-08-23T03:45:00.033 に答える
0
session.cookie_httponly1に設定するのと等しいソリューションを探していると思います。
それsession.use_only_cookiesに加えて(代わりではありません!)。
この場合、セッションの Cookie は常に JS から隠されます。
更新: Billy ONeal の回答を読み、HTTPS についてコメントする
だった: Billy ONeal が言及した HTTPS は、むしろ余分なものであり、この問題の基本的なものです。中間者攻撃は「高価な」種類の攻撃であるため、訪問者の ISP から保護するデータがある場合、Web サイトは既に HTTPS の背後にあると思います。盗まれたセッションは一般的な問題です。
于 2012-08-27T10:16:53.303 に答える
-3
自分で作る方が常に良いです。それは難しく、最終的にはあまり効果がないかもしれませんが、フレームワークと API はハイジャックを行う人からアクセスできます。
セッションを暗号化し、そのように作業してみてください。セキュリティには、プラットフォームのアーキテクチャ、ひいてはそのデータベースの大幅な変更が必要です
于 2012-08-22T01:12:25.733 に答える