8

我刚刚注意到我的主机开始使用 Suhosin Hardening,我对此不太熟悉,并且我的应用程序遇到了重大问题,主要是在会话中。

会话现在以以下格式存储:

_EzyqHpPJqmQbSpRmXAJTxuFq980aNQlc3XAiRkWxlZQ9B0fnV...

我不介意,但它也破坏了我的应用程序,我需要一种方法来解码加密,因为它不允许我因此登录到我的应用程序。

我有一个反序列化会话数据的功能,不知道我在哪里拿起但这里是:

public function unserialize_session_data($data)
{
    $variables = array();

    $a = preg_split( "/(\w+)\|/", $serialized_string, -1, PREG_SPLIT_NO_EMPTY | PREG_SPLIT_DELIM_CAPTURE );

    for( $i = 0; $i < count( $a ); $i = $i+2 )
    {
        $variables[$a[$i]] = unserialize( $a[$i+1] );
    }

    return($variables);
}

它给出了该函数的偏移错误,因为会话数据不是它所期望的格式,这就是为什么我想知道是否有人知道解密/解码上述丑陋的 suhosin 数据以以其原始格式呈现它的方法?

- 编辑 -

发布使用上述反序列化函数的函数

 /***********************************************************************
 #  Get Session Data of a certain session id
 #  --------------------------------------
 #  This function will retrieve all session information related to a certain session id from
 #  the database, after that it unserializes the data and returns an array of data.
 #
 #  @return array  (Containing Session Data)
 ***********************************************************************/
    public function get_session_data($session_id)
    {
        if (isset($session_id) && $session_id != "")
        {
            $sql = mysql_query("SELECT ses_value FROM sessions WHERE (ses_id = '$session_id');") or die ("MySQL Error : <b>" . mysql_error() . "</b><br />");

            if (mysql_num_rows($sql) > 0)
            {
                $res = mysql_fetch_assoc($sql);
                $res = $this->unserialize_session_data($res['ses_value']);
                        return $res;
            }
        }
    }

提前致谢!

4

3 回答 3

3

我以为Suhosin的解密和加密是透明的?

Parameter       Description
Encrypt         Turns on the transparent encryption

无论如何,生成加密密钥的方式是:

cryptkey + user agent + document root + IP octets

所以:

12345Mozilla/5.0 (X11; Linux x86_64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2/var/www127.0.0.1

变量在没有分隔符的情况下连接。如果由于某种原因密码字符串为 NULL,那么 Suhosin 将默认为“D3F4UL7”值。
构建后,使用 SHA256 对字符串进行散列,结果用于生成 256 位 rijndael 加密密钥。

于 2012-01-21T12:03:57.433 回答
1

如果您需要恢复存储在 Session 中的数据,您可以使用此处提供的工具:

http://www.idontplaydarts.com/2011/11/decrypting-suhosin-sessions-and-cookies/

在 PHP 中没有本地方法来解密 Suhosin 数据 - 最简单的方法是在 php.ini 文件中使用 session.encrypt = 0 关闭加密。

于 2012-01-10T05:31:39.050 回答
0

你能用ini_set()它来关闭它正在使用的加密吗?

您需要指定要用于加密会话数据的确切密钥(该页面表明可以通过该密钥进行ini_set())才能解密它。完成后,应该可以使用密钥对其进行解密(我不确定它使用的是什么加密系统)。

于 2011-05-30T17:53:38.947 回答