黑客可以设置 PHP 会话变量吗？

【问题标题】：Can a hacker set a PHP session variable?黑客可以设置 PHP 会话变量吗？
【发布时间】：2016-03-08 19:32:27
【问题描述】：

我设置的部分安全检查是随机生成一个整数作为存储为$_SESSION 变量的安全令牌。这通过特定脚本进行验证，并将布尔值设置为 true 或 false，具体取决于它是否已通过验证（如果通过其他检查，则允许进入站点）。黑客是否有可能以某种方式设置此会话变量？如果有，怎么做？

【问题讨论】：

如果黑客可以设置会话变量，他也可以下载或修改您的所有代码。会话不太可能成为目标。
一般不会。但应用程序中可能存在允许类似操作的漏洞。

标签： php security session

【解决方案1】：

只有当你允许他们时，like Joomla did（另见：the write-up for CVE-2015-8562）。

如果您的应用程序不允许攻击者控制$_SESSION 超全局的内容，那么他们根本无法控制它们。开箱即用，这不可能发生。

攻击者可以通过其他方式控制$_SESSION的内容：

您将会话数据存储在数据库驱动程序中，但无法通过 TLS 或 SSH 连接到它。
您将会话数据序列化并存储在 cookie 中，然后未能正确实施加密安全消息身份验证。

但总的来说，不会。

【讨论】：

猜你喜欢

1970-01-01
1970-01-01
1970-01-01
1970-01-01
1970-01-01
1970-01-01
2011-12-07

相关资源

下载 2022-12-09
下载 2023-02-23
下载 2023-01-02

最近更新更多

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode