我在Rails 3.0.9中共同开发一个简单的Web应用程序,我已经意识到可能通过恶意请求篡改session_id.请注意,这是我的第一个RoR应用程序,因此我的概念可能完全错误.
当前的应用程序功能需要会话,因此我转向ActiveRecordStore会话存储,安装它并开始在原始工作流程中进行测试.我注意到Rails框架使用_session_id一些随机类似哈希的字符串的名称和值创建cookie (在DB SESSION表中,此字符串对应于session_id列).
如果更改了cookie中的值,例如使用Firebug,则当前会话ID将更改为随cookie提供的数据(检查过request.session_options[:id]),并且更改将传播到数据库表,从而创建具有上述参数的新会话记录.
虽然这不会对会话的变量产生任何影响,但会话ID已经从其通常的类似哈希的外观偏离到用户篡改的外观.
这是一个问题 - 如何检测或优先防止这种行为?
security ruby-on-rails session-cookies tampering ruby-on-rails-3