您的位置 首页 php

PHP漏洞之-Session劫持

服务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的session。每个用户的session都是独立的,并且由服务器来维护。每个用户的session是由一个独特的字符串来识别,成为session id。用户发出请求时,所发送的http表头内包含session id 的值。服务器使用http表头内的session id来识别时哪个用户提交的请求。

session保存的是每个用户的个人数据,一般的web应用程序会使用session来保存通过验证的用户账号和密码。在转换不同的网页时,如果需要验证用户身份,就是用session内所保存的账号和密码来比较。session的生命周期从用户连上服务器后开始,在用户关掉浏览器或是注销时用户session_destroy函数删除session数据时结束。如果用户在20分钟内没有使用计算机的动作,session也会自动结束。

php处理session的应用架构

会话劫持

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。

攻击者获取目标用户session id的方法:

1)暴力破解:尝试各种session id,直到破解为止。

2)计算:如果session id使用非随机的方式产生,那么就有可能计算出来

3)窃取:使用网络截获,xss攻击等方法获得

会话劫持的攻击步骤

实例

  1. session_start();

  2. if (isset( $_POST [ “login” ]))

  3. {

  4. $link = mysql_connect( “localhost” , “root” , “root” )

  5. or die ( “无法建立MySQL数据库连接:” . mysql_error());

  6. mysql_select_db( “cms” ) or die ( “无法选择MySQL数据库” );

  7. if (!get_magic_quotes_gpc())

  8. {

  9. $query = “select * from member where username=’” . addslashes ( $_POST [ “username” ]) .

  10. “’ and password=’” . addslashes ( $_POST [ “password” ]) . “’” ;

  11. }

  12. else

  13. {

  14. $query = “select * from member where username=’” . $_POST [ “username” ] .

  15. “’ and password=’” . $_POST [ “password” ] . “’” ;

  16. }

  17. $result = mysql_query( $query )

  18. or die ( “执行MySQL查询语句失败:” . mysql_error());

  19. $match_count = mysql_num_rows( $result );

  20. if ( $match_count )

  21. {

  22. $_SESSION [ “username” ] = $_POST [ “username” ];

  23. $_SESSION [ “password” ] = $_POST [ “password” ];

  24. $_SESSION [ “book” ] = 1;

  25. mysql_free_result( $result );

  26. mysql_close( $link );

  27. header( “Location: ” .

  28. $_POST [ “username” ]);

  29. }

  30. session_start();

  31. 访客的 Session ID 是:echo session_id(); ?>

  32. 访客:echo htmlspecialchars( $_GET [ “user” ], ENT_QUOTES); ?>

  33. book商品的数量:echo htmlspecialchars( $_SESSION [ “book” ], ENT_QUOTES); ?>

  34. 如果登录成功,使用

  35. $_SESSION [ “username” ] 保存账号

  36. $_SESSION [ “password” ] 保存密码

  37. #_SESSION[ “book” ] 保存购买商品数目

登录以后显示

开始攻击

  1. //attack.php

  2. php

  3. // 打开Session

  4. session_start();

  5. echo “目标用户的Session ID是:” . session_id() . ” < br /> “;

  6. echo “目标用户的username是:” . $_SESSION[“username”] . ” < br /> “;

  7. echo “目标用户的password是:” . $_SESSION[“password”] . ” < br /> “;

  8. // 将book的数量设置为2000

  9. $_SESSION[“book”] = 2000;

  10. ?>

提交 此ID为获取到的客户session id,刷新客户页面以后

客户购买的商品变成了2000

session固定攻击

黑客可以使用把session id发给用户的方式,来完成攻击

把此链接发送给dodo这个用户显示

然后攻击者再访问 后,客户页面刷新,发现

商品数量已经成了2000

防范方法

1)定期更改session id

函数 bool session_regenerate_id([bool delete_old_session])

delete_old_session为true,则删除旧的session文件;为false,则保留旧的session,默认false,可选

在index.php开头加上

session_start();

session_regenerate_id(TRUE);

……

这样每次从新加载都会产生一个新的session id

2)更改session的名称

session的默认名称是PHPSESSID,此变量会保存在cookie中,如果黑客不抓包分析,就不能猜到这个名称,阻挡部分攻击

session_start();

session_name(“mysessionid”);

……

3)关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookies来制定session id时,sessioin id使用链接来传递;打开php.ini,编辑

session.use_trans_sid = 0

代码中

int_set(“session.use_trans_sid”, 0);

session_start();

……

4)只从cookie检查session id

session.use_cookies = 1 表示使用cookies存放session id

session.use_only_cookies = 1 表示只使用cookies存放session id,这可以避免session固定攻击

代码中

int_set(“session.use_cookies”, 1);

int_set(“session.use_only_cookies”, 1); p>

5)使用URL传递隐藏参数

session_start();

$seid = md5(uniqid(rand()), TRUE));

$_SESSION[“seid”] = $seid;

攻击者虽然能获取session数据,但是无法得知$seid的值,只要检查seid的值,就可以确认当前页面是否是web程序自己调用的。

文章来源:智云一二三科技

文章标题:PHP漏洞之-Session劫持

文章地址:https://www.zhihuclub.com/78262.shtml

关于作者: 智云科技

热门文章

评论已关闭

2条评论

  1. Hello there, I think your blog could be having browser compatibility problems.
    Whenever I look at your blog in Safari, it looks fine however, if opening in I.E.,
    it’s got some overlapping issues. I simply wanted
    to give you a quick heads up! Apart from that,
    great blog!

网站地图