Laravel会话劫持问题

时间:2019-07-17 14:32:43

标签: php laravel laravel-5.4 session-cookies session-hijacking

我们有一个在Laravel 5.4上运行的Web应用程序。我们已将该网站提供给审核服务以检查漏洞。他们的报告说存在Session Hijacking的威胁。他们在报告中提到了以下威胁。

威胁:假设有两个用户AB

  1. 登录A的帐户,并复制用户的session idXSRF-TOKEN的cookie。
  2. 现在打开另一个浏览器镶边,登录到B帐户。
  3. 现在粘贴Asession idXSRF-TOKEN)的cookie代替Bsession idXSRF-TOKEN)的cookie。
  4. 现在只需重新加载Chrome。而已。立即打开用户A帐户。

我已经尝试过了,它们是正确的。但是,如何解决该问题?他们建议我打开SSL加密的HttpOnlySecure cookie,我这样做了。

即使这样做,问题仍然存在。我是否以正确的方式检查?设置HttpOnlySecure后如何检查会话劫持漏洞?

0 个答案:

没有答案
相关问题
最新问题