问题标签 [session-hijacking]

这篇文章指出

如果您的站点在共享 Web 服务器上运行，请注意任何会话变量都可以被同一服务器上的任何其他用户轻松查看。

在像 GoDaddy 这样的大型主机上，真的没有针对这种情况的保护措施吗？真的有那么容易吗？如果就这么简单，那么我主机上其他用户的会话变量在哪里，以便我可以查看它们？

最近几天我一直在想它，但我读了一些关于如何使 PHP 会话更安全的文章。几乎所有这些文章都说您需要在会话中使用额外的盐保存用户代理。像这样的东西：

盐会使攻击者更难劫持或任何会话。但是为什么每次检查时都要加盐：

那么为什么盐会让它更安全，因为攻击者仍然只需要用户代理（相对而言是一小组不同的用户代理）和 sessionid？

可能是我忽略了一些小东西，但无法弄清楚，让我抓狂哈哈

谢谢！

搜索启用 httpOnly 获取 cookie 的可能方法，我找不到任何方法。但话又说回来，Firebug、Add 'N Edit Cookie 等浏览器插件如何获取 cookie？攻击者不能做同样的事情吗？

所以我的问题是，使用javascript获取启用httpOnly请求的cookie真的是不可能的吗？

p/s：是的，我知道 httpOnly 不会阻止 XSS 攻击。我也知道它对嗅探器是徒劳的。让我们只关注javascript，一种警报（document.cookie）类型/pre httpOnly 时代。

我该怎么做才能解决它？终端输出为：

这是给出的 21kb 代码... 下载链接

最近我在我的错误日志中看到了这一点（每天 1 个，每天有 40k 访问者）：

这不是配置问题，因为它适用于所有人。

我已经修改了 php.ini 有这个：

我怀疑会话劫持或我不知道的一种攻击（我是偏执狂；））。

你知道它可能是什么吗？我能做些什么来提高安全性并避免这种情况？

在使用集成 Windows 身份验证的 ASP.NET Web 应用程序中，会话是否与 Windows 身份相关联？
换句话说，如果我登录（使用 IWA）应用程序，并且应用程序在我的会话中存储了一些“东西”，那么这些东西是否可以单独通过会话 ID 访问？例如，如果一个恶意的人设法窃取了我的会话 ID，但不是我的凭据，那么他可以访问我的会话内容吗？或者这个会话是否只能由相同的身份访问，需要会话 ID和Windows 身份才能访问它？

我最近一直在阅读有关会话修复/劫持的内容，并且理解了这个理论。

我不明白的是如何在实践中利用它。您是否必须篡改浏览器才能使用被盗的 cookie？将其附加到 URL 并将其传递给 Web 应用程序？

或者你会编写某种自定义脚本来利用它，如果是这样，它会做什么？

我不是想就这个或例子寻求帮助，但我想了解更多和理解。任何帮助表示赞赏。

我希望防止我的 ASP.NET 应用程序中的会话劫持，并遇到了 Jeff Prosise 的这篇很棒的帖子。但是，它是从 2004 年开始的，我想知道是否有任何更新可以执行相同的操作或导致任何并发症？另外，有没有人在生产服务器上使用过这个，如果有，有没有由此引起的问题？唯一可能影响我的应用程序的问题是如果某人的 IP 网络在短时间内发生变化，但我无法想象这很有可能。

谢谢

当我阅读有关会话劫持的文章时，我了解到最好加密存储在 cookie 中的会话 id 值。

据我所知，当我通过调用启动会话时session_start()，PHP 不会加密 cookie 中的会话 id 值。

如何加密会话 id 值，然后用它初始化会话？

我读过一篇关于会话劫持的文章。请告诉我asp.net 会话有多安全。人们也可以使用 asp.net 会话进行会话劫持吗？并告诉我如何防止我的应用程序被会话劫持。如果您有任何好的例子，请告诉我人们是如何做到的以及我如何使我的 asp.net 应用程序免受它的影响