如果物理上复制/重新创建cookie,则重新生成会话ID无济于事

时间:2017-06-28 08:53:47

标签: php security session cookies web

这可能是一个基本概念,但我对此感到困惑。

指南告诉我们在用户登录后重新生成会话ID,以便在网络上被嗅探时使其可用,从而防止重放攻击。

我的观点是,即使在重新生成会话ID之后,它也将再次存储在用户浏览器中,并且如果攻击者或其他可以访问用户系统的人可以复制该cookie并重放不管TLS / NON TLS连接如何,另一个浏览器获得登录后访问权限?

说这种活动是无法阻止的吗?

建议/意见?

1 个答案:

答案 0 :(得分:3)

当然,如果你被嗤之以鼻 - 你被嗤之以鼻,除了加密流量外,你无法做任何事情。

ID再生 有助于缓解重播攻击,如果定期完成(即不仅仅是登录或权限更改,而是定期时间间隔),但流量嗅探只是劫持会话的一种方式,并非所有他们。

Cookie可以种植到受害者的浏览器中(也称为会话固定),这主要是登录时ID重新生成的内容。
Cookie也可能通过应用程序中的另一个漏洞被盗/泄露 在某些情况下可能会确定性地猜测会话ID(定时侧通道攻击,随机性不足,甚至是暴力)。

ID重新生成的目标是启动一个干净的会话,攻击者不能已经被劫持。