この投稿を見ましたが、このコード
を使用するとセッション固定攻撃に対して脆弱であるかどうかわかりません。
myPage.php
<?php
ini_set("session.use_cookies",0);
ini_set("session.use_only_cookies",0);
ini_set("session.use_trans_sid",1);
session_start();
$_SESSION['myName'] = "myNameIsOk";
if($_SESSION['myName'] === "myNameIsOk" ){
print_r($_SESSION);
print_r($_COOKIE);
}
?>
このコードのみをそのまま使用しており、URL パラメーターなどは使用していません。
このコードは、php セッション固定攻撃に対して脆弱ですか? はいの場合、どのように?私は PHP の専門家ではありません.
攻撃の例を投稿できますか?
url を使用して ID を渡すと、セッション固定攻撃が追加される可能性があります。次に例を示します。
http://unsafe.example.com/?SID=I_WILL_KNOW_THE_SID
他の人がこのリンクにアクセスすると、他の人のアカウントにアクセスできます。
これを回避するには、GET / POST 変数からのセッション識別子を受け入れないようにする必要があります。
使用しないでください:
ini_set("session.use_trans_sid",1);
しかし :
ini_set("session.use_trans_sid",0);
トランスペアレント SID サポートを無効にします。
URL ベースのセッション管理には、Cookie ベースのセッション管理と比較して、追加のセキュリティ リスクがあります。たとえば、アクティブなセッション ID を含む URL を友人にメールで送信したり、セッション ID を含む URL をブックマークに保存して、常に同じセッション ID でサイトにアクセスしたりできます。
セッション固定の詳細については、こちらをご覧ください。