问题标签 [session-hijacking]

我有一个 php 站点，允许注册用户登录（使用有效密码）并根据他们的 UserID 设置会话。但是我很确定这是被劫持了，我在我的服务器上找到了我没有放在那里的“新”文件。我的网站清除了 SQL 注入和 XSS 的所有用户输入，但这一直在发生。有没有人对如何解决这个问题有任何想法？

我是否必须做一些特别的事情来避免使用Kohana 框架进行会话劫持？我假设会话仅使用Kohana 会话库进行操作

我想知道当前版本的 ASP.NET 中内置了哪些会话 ID 劫持保护。

我最近看到这篇内容非常丰富的文章，它解释了如何通过实现将 IP 地址和用户代理标头编码到会话 ID 中的附加层来增强会话安全性。然后在每个后续请求中验证这些详细信息。

这篇文章似乎是为 ASP.NET 1.1 编写的，所以我想知道现在是否在 ASP.NET 中内置了类似的东西。实现这样一个附加层还有什么好处吗？

谢谢。

我正在为一个小网站做一个简单的购物车。

我计划存储购物车项目以及在会话变量中登录 user_id。

为了让事情更安全一点，我想我会这样做：

1. sha1() 将 user_id 存储在会话中之前。

2. 还 sha1() 并将 http_user_agent 变量与一些盐一起存储，并将其与 user_id 一起检查。

我知道还有更多可以做的，但我认为这至少有很大帮助，对吧？我很容易实现。

我提前道歉，因为我既不擅长解释事情，也不擅长流程图。这不是特定的代码问题，而是关于会话安全的一般问题。

我试图一次消除尽可能多的潜在问题。我认为这可以解决：

• CSRF
• 会话固定
• 会话预测
• Cookie 盗窃（通过浏览器漏洞）
• 会话劫持

我意识到如果攻击者的 IP 和用户代理标头与经过身份验证的用户相同，会话仍然可以被劫持。我想要做到防弹，你需要 SSL 吗？

如果你能用下面的 clusterfuck 弄清楚我想说什么，我将不胜感激。这或多或少是我正在做的事情：

编辑 - 我有另一个问题：假设用户不会有一个频繁更改的 IP 地址导致这成为一个问题，这是否安全？

让我们只考虑服务器对用户的信任。

会话固定：为了避免固定，我session_regenerate_id()只在身份验证中使用（login.php）

会话劫持：整个站点的 SSL 加密。

我安全吗？

我阅读了很多关于使用 Flash、Javascript 等进行跨站点脚本的内容，还发现了几个包含允许从任何服务器访问的 crossdomain.xml 的网站列表。例如 flickr.com 信任所有域。

有人可以解释一下为什么这似乎是安全的并且不会导致像会话劫持这样的攻击吗？是不是因为这些 crossdomain.xml 仅在子域上有效，攻击者无法获取会话密钥？

我正在使用uploadify，并且脚本（使用adobe flash）在请求上传操作url时创建一个新会话而不是使用当前会话。为了解决这个问题，我需要提前传递会话 ID。

有没有办法在没有允许会话固定（劫持）的情况下做到这一点？

以下是问题的一些细节： Sessions and uploadify

谢谢！

据我了解，当用户登录 Spring Security 使 Session 无效并创建一个新的。
因此，如果我来自带有明确 sessionID cookie 的 http，则 Spring Security 应该设置一个新的 sessionID 'secure' cookie，该 cookie 将仅在随后的 https 请求中由浏览器发回。
我缺少的是当“登录”用户从 https 切换到 http 时，必须有一个 sessionID cookie 作为非安全 cookie 存储在某处以跟踪会话。
我不明白 Spring 是如何管理的。
用户登录后，如果他浏览到 http，那么明确的 sessionID cookie 是否与安全的 SessionID 相同，它是否对世界可见？有人可以阅读并劫持会话。
我不了解 Spring Security 流程，有人可以解释一下它是如何工作的吗？
谢谢

使用其他用户在受信任站点中植入的 javascript 函数很容易窃取会话 id cookie。这种攻击有哪些可能的反制措施？

在客户端拒绝所有 javascript 脚本可能很困难，因为几乎所有站点都使用 js。服务器端有哪些可能的对策？是否可以在会话 ID 值中包含客户端 IP 地址的哈希值，以防止从另一个主机使用有效的会话 ID？这种方法有意义吗？

在您的宝贵答案中提到的资源之一中，提出了一种解决方案，其中在每次请求后更改会话 ID。应用服务器/框架是否已经支持这样的功能？特别是 Django/python 怎么样？