我的用户已从我的网站注销。当有人从另一台设备登录时,会发生这种情况。我调查了一下,发现来自远程IP的某人能够以其他用户身份登录我的网站。
我不知道是否有意成为目标,或者我的代码中是否有错误。我想知道如何以安全的方式正确设置会话cookie,以防止发生这种情况。
我的Cookie仅限HTTP
我也不认为这是中间人攻击,因为不同地区的多个用户被注销。我的网站受SSL保护。
我不认为这是蛮力攻击。有时,当我登录时,在30秒内我再次注销,并且远程IP已登录。
我认为他无权访问任何密码。一切都已隐藏在数据库中,并且客户端上唯一存储的是会话HTTP Only Cookie令牌。
我很困。
这是我的登录脚本,该脚本检查用户的凭据并设置会话:
//database connection is $db_connect
//Creates a random String
function generateRandomString() {
$length = rand(25, 30);
$characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
$charactersLength = strlen($characters);
$randomString = '';
for ($i = 0; $i < $length; $i++) {
$randomString .= $characters[rand(0, $charactersLength - 1)];
}
return $randomString;
}
//Grab email, password, IP address
$email_attempt=strtoupper(preg_replace('#[^a-z0-9\.\@\_\-\+]#i', '', $_POST['e']));
$password_attempt=$_POST["p"];
$user_IP = preg_replace('#[^0-9.\:]#', '', getenv('REMOTE_ADDR'));
//Call the database
$sql = "SELECT password, userID FROM user_data WHERE email='$email_attempt' LIMIT 1";
$query = mysqli_query($db_connect, $sql);
if(mysqli_num_rows($query)>0)
{
//Get the ID and hashed password from database
while($row = $query->fetch_assoc()) {
$password_db=$row["password"];
$userID_db=$row["userID"];
}
//Verify Login using password verify
if(password_verify($password_attempt, $password_db)==true){
//remove any previous sessions for the user
$sql = "DELETE FROM user_sessions WHERE userID='$userID_db'";
$query = mysqli_query($db_connect, $sql);
//Clear any current cookies from client
if(isset($_COOKIE["user"]) && isset($_COOKIE["token"])) {
setcookie("user", '', strtotime( '-5 days' ), '/');
setcookie("token", '', strtotime( '-5 days' ), '/');
}
session_destroy();
// Set Session data to an empty array
$_SESSION = array();
//create a new token, set new session and cookies
$token=generateRandomString();
$_SESSION['user'] = $userID_db;
$_SESSION['token'] = $token;
setcookie("user", $userID_db, strtotime( '+3 days' ), "/", "", "", TRUE);
setcookie("token", $token, strtotime( '+3 days' ), "/", "", "", TRUE);
//Hash the token to store in the database
$token_hash=password_hash($token, PASSWORD_DEFAULT);
//Store session into database
$sql = "INSERT INTO user_sessions
(userID, session_token, IP, loginDate)
VALUES
('$userID_db','$token_hash','$user_IP', '$current_date')";
$query = mysqli_query($db_connect, $sql);
header("Location: dashboard.php");
}
else
{
echo 'wrong_credentials';
}
}
这是我的代码,用于评估用户,并通过检查会话和cookie来查看他们是否已登录;
//start session
session_start();
$user_ok = false;
$clientID = "";
$token = "";
$user_IP = preg_replace('#[^0-9.\:]#', '', getenv('REMOTE_ADDR'));
if(isset($_SESSION["user"]) && isset($_SESSION["token"])) {
//Get session
$clientID = preg_replace('#[^a-z0-9]#i', '', $_SESSION['user']);
$token = preg_replace('#[^a-z0-9]#i', '', $_SESSION['token']);
// Verify the user with session data
$user_ok = checkUser($db_connect,$clientID,$token,$user_IP);
} else if(isset($_COOKIE["user"]) && isset($_COOKIE["token"])){
//Set session from cookie
$_SESSION['user'] = preg_replace('#[^a-z0-9]#i', '', $_COOKIE['user']);
$_SESSION['token'] = preg_replace('#[^a-z0-9]#i', '', $_COOKIE['token']);
//Get session data
$clientID = preg_replace('#[^a-z0-9]#i', '', $_SESSION['user']);;
$token = preg_replace('#[^a-z0-9]#i', '', $_SESSION['token']);
// Verify the user
$user_ok = checkUser($db_connect,$clientID,$token,$user_IP);
}
// User Verify function
function checkUser($db_connect,$user,$token,$ip){
//Grab the session
$sql = "SELECT session_token FROM user_sessions WHERE userID='$user' AND ip='$ip' LIMIT 1";
$query = mysqli_query($db_connect, $sql);
if(mysqli_num_rows($query)>0){
$row=mysqli_fetch_row($query);
$token_hashed=$row[0];
//compare token given and hashed token
if(password_verify($token,$token_hashed)==true)
{
return true;
}
else
{
return false;
}
}
else
{
return false;
}
}
所以我的问题是:此代码足够安全吗?
我如何更安全?
如果您对这个谜题中发生的事情有任何了解,请告诉我,因为我正被摧毁。预先谢谢你。
答案 0 :(得分:1)
经过一番挖掘,我意识到问题出在试图将会话锚定到单个IP地址上。
我们的站点上正在运行CloudFlare,因此getenv('REMOTE_ADDR')有时会返回CloudFlare的IP地址而不是客户端IP地址。这导致注销。
但是我认为我可以根据评论回答自己的问题。为了使脚本更安全并停止定期注销,我应该:
Occam的剃刀是解决问题的原则,本质上说,简单的解决方案比复杂的解决方案更可能是正确的。