私のウェブサイトは PHP で構築されています。セッションが壊れているかどうか、またはセキュリティ攻撃に対して脆弱かどうかをテストする方法を知りたいです。利用可能なツールはありますか、それとも手動で行う必要がありますか?
質問する
69 次
1 に答える
0
もっと情報を提供できますか?
セッションはサーバーに保存されます。サーバーをリモートしてセッションを表示/破棄できます
ただし、プログラミングでは、次を使用してすべてのセッションを確認できます
foreach ($_SESSION as $key=>$val)
echo $key." ".$val;
そして、セキュリティの問題のために
セッションを安全に保つために、いくつかのことを行う必要があります。
1.Use SSL when authenticating users or performing sensitive operations.
2.Regenerate the session id whenever the security level changes (such as logging in). You can even regenerate the session id every request if you wish.
3.Have sessions time out
4.Don't use register globals
5.Store authentication details on the server. That is, don't send details such as username in the cookie.
6.Check the $_SERVER['HTTP_USER_AGENT']. This adds a small barrier to session hijacking.
7.You can also check the IP address. But this causes problems for users that have changing IP address due to load balancing on multiple internet connections etc (which is the case in our environment here).
8.Lock down access to the sessions on the file system or use custom session handling
For sensitive operations consider requiring logged in users to provide their authenication details again
于 2012-11-15T07:58:15.413 に答える