预防会话劫持

在我看来，当用户登录时，您可以在数据库中存储会话 ID，并在登录前检查每个人的会话 ID。当用户注销时，删除存储在数据库中的相同会话 ID。您可以很容易地找到每个用户的会话 ID，否则我可以帮助您。

其中一个简单的实现就是在数据库中创建一个表，作为已登录的用户，然后在登录时，用用户名和他的 SID 更新这个表，这将防止其他用户作为同一个用户登录，现在在注销时，只需运行一个简单的查询，删除数据库中已登录的数据，这也可以用来跟踪一次登录在你的网站上的用户。

有很多标准的防御会话劫持。其中之一是将每个会话与单个 IP 地址匹配。

其他方案 可以使用由以下方面产生的 HMAC:

• 客户端 IP 的网络地址
• 客户端发送的用户代理头
• SID
• 存储在服务器上的秘密密钥

之所以只使用 IP 的网络地址，是因为用户在公共代理后面，在这种情况下，他们的 IP 地址可以随着每个请求而改变，但网络地址保持不变。

当然，为了真正的安全，您确实应该对所有请求强制使用 SSL，这样 SID 就不会被潜在的攻击者拦截。但并非所有的网站都这样做(Stack Overflow 咳嗽:)。

不幸的是，没有有效的方法可以明确地识别来自攻击者而非真正请求的请求。因为大多数反措施检查的属性，如 IP 地址或用户代理特征，要么不可靠(IP 地址可能在多个请求之间变化)或可以很容易伪造(如 用户代理请求头) ，因此可以产生不必要的假阳性(即真正的用户交换 IP 地址)或假阴性(即攻击者能够成功伪造请求与同一 用户代理)。

这就是为什么防止会话劫持攻击的最好方法是确保攻击者无法找到其他用户的会话 ID。这意味着你应该设计你的应用程序和它的会话管理，(1)攻击者不能通过使用足够的熵来猜测一个有效的会话 ID，(2)攻击者没有其他方法通过已知的攻击/漏洞来获得一个有效的会话 ID，比如嗅探网络通信、跨网站脚本、通过 推荐人泄漏等。

也就是说，你应该:

• 使用足够的随机输入来生成会话 ID (参见 会话。熵 _ 文件 、 熵 _ 长度 sessionon.熵 _ length 和 < em > session.hash _ function )
• 在传输过程中使用 HTTPS 保护会话 ID
• 将会话 ID 存储在 cookie 中，而不是 URL 中，以避免通过 推荐人泄漏(参见 Session. use _ only _ cookies )
• 设置具有 HttpOnly和 Secure属性的 cookie，以禁止通过 JavaScript 访问(在 XSS 漏洞的情况下) ，并禁止通过不安全通道传输(参见 < em > session.cookie _ httponly 和 < em > session. cookie _ security )

除此之外，你还应该在某些会话状态改变后重新生成会话 ID，同时使旧的会话 ID 失效(见 session_regenerate_id功能)(例如，在登录后确认真实性或更改授权/特权) ，你还可以定期这样做，以减少成功的会话劫持攻击的时间跨度。

我们能做这样的事吗。

在数据库中存储会话 ID。 还要存储这个会话 ID 的 Ip 地址和 HTTP _ USER _ AGENT。 现在，当一个请求到达包含匹配会话 ID 的服务器时，在脚本中检查来自哪个代理和 ip。

可以通过为会话创建公共函数或类来使这个基金会工作，以便在处理每个请求之前进行验证。几秒钟就能搞定。但是，如果有许多用户访问您的站点，并且您有大量的会话数据库，那么这可能是一个小的性能问题。但是，与其他方法相比，它肯定是非常安全的 = > 使用重新生成会话。

在重新生成会话 id 的过程中，再次出现会话劫持的可能性也很小。

假设复制了用户的会话 ID，该用户有一段时间不工作或处于活动状态，并且没有向具有旧会话 ID 的服务器发出要求重新生成新会话 ID 的请求。然后在会话 ID 被劫持的情况下，黑客将使用该会话 ID 并使用该 ID 向服务器发出请求，然后服务器将使用重新生成的会话 ID 进行响应，这样黑客就可以继续使用服务。实际用户将不再能够操作，因为他不知道重新生成的 id 是什么，以及将在请求中传递什么请求会话 id。完全消失了。

如果我哪里说错了，请纠正我。

显然，当您在浏览器中设置会话 Cookie 时，该 Cookie 将在请求中发送。现在，当请求到来时，服务器将检查数据库中的会话 ID 并授予访问权限。为了防止只存储代理和 ip 的重要性，以便在检查服务器之前确保会话访问被授予给唯一的客户端，而不是可以被劫持的唯一会话 ID。

我不太了解编程这部分。我可以告诉你一个算法。如果用户从局域网中嗅探会话 ID (假设用户和攻击者在同一个局域网中) ，那么设置 SSL 之类的东西，或者将会话 cookie 设置为安全且 httpOnly 不起作用。

因此，您可以做的是，一旦用户成功登录到应用程序，为 Web 应用程序的每个页面设置唯一的令牌，并在服务器端跟踪这一点。这样，如果有效用户发送访问特定页面的请求，该页面的令牌也将被发送到服务器端。由于这些令牌对于特定会话的用户是唯一的，即使攻击者可以获得会话 ID，他也不能劫持用户会话，因为他不能向服务器提供有效的令牌。

@ Anandu M Das:

我相信您可能指的是对每个会话 ID 使用会话令牌。这个网站可以解释会话令牌的使用:

Https://blog.whitehatsec.com/tag/session-token/

尽管会话令牌很容易受到 XSS 攻击的破坏，但这并不意味着永远不应该使用它们。我的意思是，让我们面对它，如果某些东西是由于服务器上的安全漏洞造成的，这不是方法的错误，而是引入这个漏洞的程序员的错误(为了突出 Hesson 和 Rook 提出的要点)。

如果您遵循适当的安全约定和实践，并保护您的站点不受 SQL 注入、 XSS 和要求通过 HTTPS 管理所有会话的影响，那么您可以通过使用服务器端令牌(存储在会话中)轻松管理来自 CSRF 的潜在攻击，并在用户对其会话进行操作时进行更新(比如提交 $_ POST)。另外，永远不要将会话或其内容存储在 URL 中，无论您认为它们是如何编码的。

当您的用户的安全性至关重要(这是应该的)时，使用会话令牌将允许提供更好或更高级的功能，而不会损害其会话安全性。

会话劫持是一个严重的威胁，它必须为涉及事务的高级应用程序使用安全套接字层，或使用上文所述的使用 cookies、会话超时和重新生成 id 等简单技术来处理。
当互联网诞生时，HTTP 通信被设计为无状态的; 也就是说，两个实体之间的连接只存在于请求发送到服务器所需的短暂时间内，并且最终的响应传回客户端。 下面是黑客劫持会话的一些方法

• 网络窃听
• 不知情的暴露
• 转发、代理和网络钓鱼
• 反向代理

始终推荐 SSL 传输层安全
还可以在脚本开始处使用 饼干来执行 ini _ set ()指令，以覆盖 php.ini 中的任何全局设置:

ini_set( 'session.use_only_cookies', TRUE );
ini_set( 'session.use_trans_sid', FALSE );

使用 会话超时和会话重新生成 ID

<?php
// regenerate session on successful login
if ( !empty( $_POST['password'] ) && $_POST['password'] === $password )
{
// if authenticated, generate a new random session ID
session_regenerate_id();


// set session to authenticated
$_SESSION['auth'] = TRUE;


// redirect to make the new session ID live


header( 'Location: ' . $_SERVER['SCRIPT_NAME'] );
}
// take some action
?>