课程咨询: 400-996-5531 / 投诉建议: 400-111-8989
认识达内从这里开始
认真做教育 专心促就业
最常见的针对会话的攻击手段是会话劫持。它是所有攻击者可以用来访问其它人的会话的手段的总称。所有这些手段的都是取得一个合法的会话标识来伪装成合法用户,因此保证会话标识不被泄露非常重要。前面关于会话暴露和固定的知识能帮助你保证会话标识只有服务器及合法用户才能知道。
深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。记住无论多小的障碍,都会以你的应用提供保护。
把伪装过程变得更复杂的关键是加强验证。会话标识是验证的首要方法,同时你可以用其它数据来补充它。你可以用的所有数据只是在每个HTTP请求中的数据:
GET / HTTP/1.1
Host: #
User-Agent: Firefox/1.0
Accept: text/html, image/png, image/jpeg, image/gif, */*
Cookie: PHPSESSID=1234
你应该意识到请求的一致性,并把不一致的行为认为是可疑行为。例如,虽然User-Agent(发出本请求的浏览器类型)头部是可选的,但是只要是发出该头部的浏览器通常都不会变化它的值。如果你一个拥有1234的会话标识的用户在登录后一直用Mozilla Firfox浏览器,突然转换成了IE,这就比较可疑了。例如,此时你可以用要求输入密码方式来减轻风险,同时在误报时,这也对合法用户产生的冲击也比较小。你可以用下面的代码来检测User-Agent的一致性:
session_start();if (isset($_SESSION[‘HTTP_USER_AGENT’]))
{
if ($_SESSION[‘HTTP_USER_AGENT’] != md5($_SERVER[‘HTTP_USER_AGENT’]))
{
/* Prompt for password */
exit;
}
}
else
{
$_SESSION[‘HTTP_USER_AGENT’] = md5($_SERVER[‘HTTP_USER_AGENT’]);
}?>
达内潍坊it培训的老师观察过,在某些版本的IE浏览器中,用户正常访问一个网页和刷新一个网页时发出的Accept头部信息不同,因此Accept头部不能用来判断一致性。
< 上一篇:怎样避免session 数据暴露
下一篇:php邮件发送简介 >
2019-03-05
免费试听课程
- 全部课程
- IT课程
- 设计课程
- 运营课程
4578
最新开班时间
- 北京
- 上海
- 广州
- 深圳
- 南京
- 成都
- 武汉
- 西安
- 青岛
- 天津
- 杭州
- 重庆
- 哈尔滨
- 济南
- 沈阳
- 合肥
- 郑州
- 长春
- 苏州
- 长沙
- 昆明
- 太原
- 无锡
- 石家庄
- 南宁
- 佛山
- 珠海
- 宁波
- 保定
- 呼和浩特
- 洛阳
- 烟台
- 运城
- 潍坊
- 开课名称
- 开班时间
- 抢座
- 咨询
- 开课名称
- 开班时间
- 抢座
- 咨询
-
- Java全链路开发
- 7月31日
- 火热抢座中
- 立即咨询
- 云计算全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
-
- 网络安全工程师
- 7月31日
- 火热抢座中
- 立即咨询
- 人工智能工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- 数据分析与商业智能
- 7月31日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 7月31日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 7月31日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 7月31日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 7月31日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 7月31日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 7月31日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 7月31日
- 火热抢座中
- 立即咨询
-
- Java全链路开发
- 7月31日
- 火热抢座中
- 立即咨询
- 云计算全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
-
- 网络安全工程师
- 7月31日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 7月31日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 7月31日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 7月31日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 7月31日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 7月31日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 7月31日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 7月31日
- 火热抢座中
- 立即咨询
-
- 云计算全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- C++物联网工程师
- 7月31日
- 火热抢座中
- 立即咨询
- Web全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
-
- 软件测试工程师
- 7月31日
- 火热抢座中
- 立即咨询
- AI大模型全栈工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- 鸿蒙原生应用开发
- 7月31日
- 火热抢座中
- 立即咨询
- 智能职场办公
- 7月31日
- 火热抢座中
- 立即咨询
-
- VFX商业视效设计
- 7月31日
- 火热抢座中
- 立即咨询
- AGI商业设计变现
- 7月31日
- 火热抢座中
- 立即咨询
-
- UID全链路设计
- 7月31日
- 火热抢座中
- 立即咨询
- 新媒体电商运营
- 7月31日
- 火热抢座中
- 立即咨询
-
- Java全链路开发
- 7月31日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- 数据分析与商业智能
- 7月31日
- 火热抢座中
- 立即咨询
- C++物联网工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- Web全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
- 软件测试工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- AI大模型全栈工程师
- 7月31日
- 火热抢座中
- 立即咨询
- 鸿蒙原生应用开发
- 7月31日
- 火热抢座中
- 立即咨询
-
- 智能职场办公
- 7月31日
- 火热抢座中
- 立即咨询
- VFX商业视效设计
- 7月31日
- 火热抢座中
- 立即咨询
-
- AGI商业设计变现
- 7月31日
- 火热抢座中
- 立即咨询
- UID全链路设计
- 7月31日
- 火热抢座中
- 立即咨询
-
- 新媒体电商运营
- 7月31日
- 火热抢座中
- 立即咨询
-
- 云计算全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
- 网络安全工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- C++物联网工程师
- 7月31日
- 火热抢座中
- 立即咨询
- Web全栈开发
- 7月31日
- 火热抢座中
- 立即咨询
-
- 软件测试工程师
- 7月31日
- 火热抢座中
- 立即咨询
- AI大模型全栈工程师
- 7月31日
- 火热抢座中
- 立即咨询
-
- 鸿蒙原生应用开发
- 7月31日
- 火热抢座中
- 立即咨询
- 智能职场办公
- 7月31日
- 火热抢座中
- 立即咨询
-
- VFX商业视效设计
- 7月31日
- 火热抢座中
- 立即咨询
- AGI商业设计变现
- 7月31日
- 火热抢座中
- 立即咨询
-
- UID全链路设计
- 7月31日
- 火热抢座中
- 立即咨询
- 新媒体电商运营
- 7月31日
- 火热抢座中
- 立即咨询
预约申请试听课
400-111-8989
lihm@tedu.cn
