我刚刚在Web应用程序安全测试期间遇到了威胁。我已经审查了代码,无法找出为什么会发生这种情况,任何解决它的建议都会被评估,这是否与重做php代码有关?
请尽快帮助。
[增订]
登录后更改会话标识符值
由于缺乏理解,我无法解决,在从一个页面移动到另一个页面后,我是否必须将会话密钥更改为不同的会话密钥
它还建议"验证在登录管理中仅跟踪会话标识符"
变体推理 测试结果似乎表明存在漏洞,因为原始请求(左侧)和响应(右侧)中的会话标识符相同。它们应该在响应中更新。
答案 0 :(得分:0)
我做了一些debuging并遇到代码中的会话劫持问题,同一个会话ID用于同一台计算机上导致“会话标识符未更新”安全错误的不同登录尝试,因为在您注销后任何人都可以使用会话id尝试登录,因此我使用了
session_regenerate_id (true)// it regenerate id and delete old id on machine