什么导致会话标识符没有更新问题?

时间:2015-05-06 10:44:50

标签: php security session

我刚刚在Web应用程序安全测试期间遇到了威胁。我已经审查了代码,无法找出为什么会发生这种情况,任何解决它的建议都会被评估,这是否与重做php代码有关?

请尽快帮助。

[增订]

登录后更改会话标识符值

由于缺乏理解,我无法解决,在从一个页面移动到另一个页面后,我是否必须将会话密钥更改为不同的会话密钥

它还建议"验证在登录管理中仅跟踪会话标识符"

变体推理 测试结果似乎表明存在漏洞,因为原始请求(左侧)和响应(右侧)中的会话标识符相同。它们应该在响应中更新。

1 个答案:

答案 0 :(得分:0)

我做了一些debuging并遇到代码中的会话劫持问题,同一个会话ID用于同一台计算机上导致“会话标识符未更新”安全错误的不同登录尝试,因为在您注销后任何人都可以使用会话id尝试登录,因此我使用了

session_regenerate_id (true)// it regenerate id and delete old id on machine