劫持会话发生在远程计算机上?

时间:2011-08-24 22:34:36

标签: php session

我是新成员。我读了很多文章,我不明白。要劫持会话,攻击者是否必须在受害者登录的同一台计算机上?

我的意思是喜欢进入图书馆而忘记退出。

或者没有这个可以劫持?

3 个答案:

答案 0 :(得分:1)

假设......

  • 攻击者没有破坏客户端或服务器计算机,
  • 没有收听(客户端本地,服务器本地或Internet核心路由器),或者连接已充分加密
  • 会话令牌足够随机(你可以假设php的内置会话机制)
  • 您的网站没有XSSXSRF个漏洞。

...劫持会话的唯一方法实际上是使用受害者之前使用的浏览器。您可以使用session.cookie_lifetime配置选项配置会话的生存期。默认(0)建议浏览器在浏览器关闭后立即使会话无效。

答案 1 :(得分:0)

它可以以各种方式制作。

  1. 黑客可以在他找到会话ID的受害者计算机上访问/放置病毒。
  2. 他可以听取网络流量来嗅出cookie。
  3. 也可以(特别是在共享主机上)访问存储会话数据的目录。
  4. 如果您不过滤输入数据,则可以进行xss攻击。

    5. 如果您加密连接或会话cookie,并且在他/她登录时存储用户的IP /浏览器,然后检查请求的IP是否匹配,您可以防止一些危险。

答案 2 :(得分:0)

会话存储在服务器上并通过会话ID访问,这就是浏览器cookie。 劫持会话的所有人都必须使用其他人正在使用的会话ID。换句话说,将会话cookie更改为其他人的会话cookie。

相关问题
最新问题