4

我正在使用 PHP 开发一个 Web 应用程序,其中用户将能够拥有他或她自己的帐户,并且跟踪用户的会话存储在 MySQL 数据库中。现在,在搜索了如何实现这一点的答案后,我发现很多人都喜欢使用session_destroy()和取消设置 cookie。为什么 - session_destroy() 本身不够?甚至PHP 手册也说“为了完全终止会话,比如注销用户,还必须取消设置会话 ID。”

我的推理:在用户退出后,并且在离开之前碰巧只访问了您网站上的一个页面,检查用户是否登录的 PHP 脚本将调用 session_start(),为用户设置一个新的会话 cookie反正。下面是它的样子:

// here we include some scripts and make some instances we'll need
require_once("database.php");
require_once("session.php");
$database_connection = new DB_Connection();
$session = new Session($database_connection);

// here a session cookie is sent to a user, even if he or she isn't logged in
session_start();

// finally we check if the user is logged in
$log_isLogged = false;
if(isset($_SESSION['member_id'], $_SESSION['username'])){
    $log_member_id = $_SESSION['member_id'];
    $log_username = $_SESSION['username'];
    $log_isLogged = true;
}

当然,当用户知道这一事实并在可能设置新 cookie 之前离开站点时,这很好。但有些网站甚至会在您注销后直接将您重定向到新页面,从而产生一个新的会话 cookie - 撤消您刚刚所做的事情。

我的推理是否在某些方面存在缺陷,或者是否取消设置会话 cookie 并不重要?也许大多数开发人员只是认为取消设置至少不会有什么坏处?

我不是母语人士,所以对于任何拼写错误和语法错误,我提前道歉。

4

1 回答 1

9

(名称不佳)session_destroy()函数仅从会话中删除数据。它不会浏览器中删除会话 cookie,而是保留与会话关联的 session_id。session_start()仅当客户端请求中尚未提供新的 session_id 时才向客户端发出新的 session_id。您的代码容易受到称为会话固定的攻击,恶意攻击者将在您的站点上启动会话以获取有效的 session_id,然后欺骗您站点的毫无戒心的用户使用攻击者的已知 session_id 登录。这可以通过向受害者发送 URL 中带有 session_id 的链接(如果您的站点接受这种方式)或各种其他方法来完成。一旦受害者登录,攻击者也会以同一用户的身份有效登录。

为了防止会话固定攻击,您应该:

  1. 成功登录后,通过调用向客户端发出一个全新的 session_id session_regenerate_id()

  2. 注销时,完全销毁服务器和客户端上会话的每个工件。这意味着使用 调用取消设置客户端 cookie 。session_destroy() setcookie()

  3. 确保您的站点永远不会在 URL 中公开 session_id 或接受 URL 中提供的 session_id。

  4. 确保您的 session_id 足够长且随机,以至于攻击者实际上无法猜到它们。

  5. 确保您的站点不容易受到跨站点脚本攻击,这将允许攻击者从已经登录的用户那里窃取有效的 session_id。

  6. 确保您的登录是通过 https 进行的,并且会话 cookie 被标记为安全。所有与会话相关的通信都应通过 https 进行。客户端的 session_id 绝不能通过 http 发送,因为这会在传输过程中暴露它。

进一步参考: OWASP Top 10 page on session management

于 2011-08-03T15:17:07.583 回答