会话劫持导致令牌暴露

Question

我正在努力解决会话劫持和使用令牌进行 CSRF 保护的问题。 我在每个脚本中都使用此对象方法来检查是否设置了会话变量或令牌是否与会话令牌匹配。

public function admin_index(){

session_start();
if(!isset($_SESSION["user"]) || $_GET['token']!=$_SESSION['token']) {
    header("location: login/login_form.php");
    session_destroy();
    exit();
}

我是新手，我的问题是： 如果我的会话 ID 以某种方式被劫持，他是否能够在 session_start 之后的短时间内读取我的变量 $_SESSION['token'] 并且会话数据被获取并填充到 $_SESSION 中，或者它仍然安全吗？服务器？

即使已获得有效会话，会话变量通常是否安全？

不要介意 $_GET['token'] 而不是 POST。我还在努力。

谢谢

编辑：

我要问的是。如果令牌还可以帮助我以我使用它的方式保护我的会话。如果我的脚本中的每个查询、链接或视图都需要一个有效的令牌，并且攻击者只获得了我的 session_id，那么令牌将是另一层保护，因为他/她需要 id 和令牌才能在脚本中执行任何操作对吧？

即使攻击者获取了我的 session_id，令牌在服务器上也是安全的？

Answer 1

会话劫持和 CSRF 攻击是完全不同的两件事，一旦有人可以访问您的会话，他们就是“您”，可以访问您帐户中的所有内容。

CSRF 攻击是一种强制最终用户执行的攻击 在他/她当前所在的 Web 应用程序上执行不需要的操作 已认证

这是一个社会工程和验证问题，使用令牌显然可以解决，因为可以证明数据是从您的表单合法发送的。使用 POST 而不是 GET 将使这种攻击变得非常困难。

另一方面，会话劫持是有人可以使用您的 会话，成为“您”并使用您的帐户，这将允许他们做 随心所欲。

一旦恶意用户有权访问此会话，CSRF 攻击就几乎没有用处，因为它是不需要的。

如果您担心您的会话 ID 被劫持，那么您可以采取一些预防措施，例如在用户提升到更高访问级别后重新生成用户会话 ID。这可以使用 session_regenerate_id() PHP 函数来完成。您还可以检查浏览器的用户代理以检查是否有更改，如果有，您可以简单地要求用户登录并重新生成 id，以便攻击者不知道它。显然，他们总是有可能成为同一个用户代理，但这确实大大限制了风险。 SSL/HTTPS 等加密也是您可能想要查看的选项

有关更多信息，您应该查看此链接以获取一些示例：http://phpsec.org/projects/guide/4.html。希望这已经解决了你的问题:)

Answer 2

会话变量存储在服务器上。它们无法读取。但是，攻击者通常可以劫持会话，该攻击者可以访问另一个用户的会话 ID，然后可以使用该会话 ID 来冒充（劫持）他们的会话。

CSRF 是一个完全不同的问题。 CSRF 漏洞让用户无意中以类似于 xss 漏洞的方式执行操作：我可能会发布一个虚假的 img 链接，其中 src 实际上是一个 url，它将参数传递给您的浏览器代表您运行的脚本。在这种情况下，攻击者只是让您的浏览器发出您不希望它发出的请求。 CSRF 保护应该阻止这种情况，因为用户不知道令牌是什么，所以他们不能将其嵌入到 url。

Answer 3

如果我错了，请纠正我，但我很确定您根本无法劫持 $_SESSION 值，因为这些值与 $_COOKIE 不同，保存在服务器上而不是网络浏览器中。

因此他们也无法改变它。他们可以关闭他们的网络浏览器来删除它，但不能编辑它。