Ada*_*dam 30 php security session
所以每个人都说会议有安全隐患,我想知道这些风险是什么?黑客可以用会话做些什么?
这不是要知道如何避免攻击,我想知道黑客是如何做到的,以及他们在做什么.
我说说PHP SESSIONS.
sAc 的回答非常好。但是,不要因此排除“会话”。
我已经成功部署了自定义会话,其中包括修复劫持、密码反转 (md5/rainbow) 和(如果使用正确)会话固定。
“成功部署”是指通过渗透测试,并且(当然)实际上比传统的更好。
没有“秘密”或模糊的安全;基本上,它为每个用户帐户生成一个随机(和数据库方面唯一的)数字(在我的情况下实际上是一个 guid),并将 guid+用户名存储为正常方法(而不是用户名+散列/加盐密码)。接下来,它将此 guid 与用户的 ip 地址绑定。并非绝对可靠,但使用 guid 和 per-ip 已经是对当前会话系统的改进。当然,有一些缺陷在特定目标后会暴露出来(例如 ip 欺骗 + 被劫持的 guid 和用户名)。但总的来说,这是一种更好的选择。
| 归档时间: |
|
| 查看次数: |
18856 次 |
| 最近记录: |