您认为会话复制是一种安全风险吗?我的意思是如果攻击者设法劫持会话,他仍然可以使用相同的有效会话,尤其是在会话未到期的情况下,直到一个人手动注销。您会给出哪些建议来阻止会话复制?
答案 0 :(得分:0)
如果您不希望客户端有能力处理数据,那么会话更好。
例如,使用会话变量来存储当前用户的用户ID是正常的。
因此,使用Session总是一个好主意。但这取决于你如何管理它。 (一旦使用就取消设置)
但是如果你使用Cookies,不建议使用它,因为它存储在用户的计算机中,它可以被修改,由用户自己查看。
答案 1 :(得分:0)
您可以经常滚动会话ID(例如,在一定数量的请求或某个短时间段之后),系统会生成新的会话ID。
为了防止由于一个资源请求导致生成新会话ID而导致竞争条件出错,在翻转间隔期间应接受当前和之前的会话ID。
从本质上讲,这会导致其中一个有效会话(攻击者或受害者)在浏览器中过期,因为他们使用旧的会话ID并且没有收到包含cookie的cookie一个新的身份证。
您应该显示一条消息,说明您已在其他地方使用帐户时已注销的内容。如果这恰好是攻击者的机器,那么很棒 - 你已经阻止了攻击。如果这恰好是受害者的机器,他们至少知道他们的会话已经受到损害,并且可以采取措施通知网站所有者。
如果您还将此操作与用户登录时帐户的所有现有会话无效相结合,则再次登录的受害用户将使攻击者退出攻击,攻击者将需要重新获取有效的会话ID。这应该会显着减少攻击窗口,从而在调查和修复会话ID泄漏时系统保持安全。