本文主要介紹針對PHP網站Session劫持。session劫持是一種比較複雜的攻擊方法。大部分互聯網上的電腦多存在被攻擊的危險。這是一種劫持tcp協議的方法,所以幾乎所有的局域網,都存在被劫持可能。
服務端和客戶端之間是通過session(會話)來連接溝通。當客戶端的瀏覽器連接到主機後,主機就會建立一個該用戶的session。每個用 戶的session都是獨立的,並且由主機來維護。每個用戶的session是由一個獨特的字符串來識別,成為session id。用戶發出請求時,所發送的http表頭內包含session id 的值。主機使用http表頭內的session id來識別時哪個用戶提交的請求。
session保存的是每個用戶的個人數據,一般的web應用程序會使用session來保存通過驗證的用戶賬號和密碼。在轉換不同的網頁時,如果 需要驗證用戶身份,就是用session內所保存的賬號和密碼來比較。session的生命週期從用戶連上主機後開始,在用戶關掉瀏覽器或是註銷時用戶 session_destroy函數刪除session數據時結束。如果用戶在20分鐘內沒有使用計算機的動作,session也會自動結束。
php處理session的應用架構
會話劫持
會話劫持是指攻擊者利用各種手段來獲取目標用戶的session id。一旦獲取到session id,那麼攻擊者可以利用目標用戶的身份來登錄網站,獲取目標用戶的操作權限。
攻擊者獲取目標用戶session id的方法:
1)暴力破解:嘗試各種session id,直到破解為止。
2)計算:如果session id使用非隨機的方式產生,那麼就有可能計算出來
3)竊取:使用網絡截獲,xss攻擊等方法獲得
會話劫持的攻擊步驟
實例:
03 |
if (isset($_POST["login"])) |
05 |
$link = mysql_connect("localhost", "root", "root") |
06 |
or die("無法建立MySQL數據庫連接:" . mysql_error()); |
07 |
mysql_select_db("cms") or die("無法選擇MySQL數據庫"); |
08 |
if (!get_magic_quotes_gpc()) |
10 |
$query = "select * from member where username=’" . addslashes($_POST["username"]) . |
11 |
"’ and password=’" . addslashes($_POST["password"]) . "’"; |
15 |
$query = "select * from member where username=’" . $_POST["username"] . |
16 |
"’ and password=’" . $_POST["password"] . "’"; |
18 |
$result = mysql_query($query) |
19 |
or die("執行MySQL查詢語句失敗:" . mysql_error()); |
20 |
$match_count = mysql_num_rows($result); |
23 |
$_SESSION["username"] = $_POST["username"]; |
24 |
$_SESSION["password"] = $_POST["password"]; |
25 |
$_SESSION["book"] = 1; |
26 |
mysql_free_result($result); |
//index.php
session_start();// 打開Session
訪客的 Session ID 是:echo session_id();
訪客:echo htmlspecialchars($_GET["user"], ENT_QUOTES);
book商品的數量:echo htmlspecialchars($_SESSION["book"], ENT_QUOTES);
如果登錄成功,使用
$_SESSION["username"] 保存賬號
$_SESSION["password"] 保存密碼
#_SESSION["book"] 保存購買商品數目
開始攻擊
2 |
session_start();// 打開Session |
3 |
echo "目標用戶的Session ID是:" . session_id() . ""; |
4 |
echo "目標用戶的username是:" . $_SESSION["username"] . ""; |
5 |
echo "目標用戶的password是:" . $_SESSION["password"] . ""; |
7 |
$_SESSION["book"] = 2000; |
提交 http://www.91ri.org/ attack.php?PHPSESSID=5a6kqe7cufhstuhcmhgr9nsg45 此ID為獲取到的客戶session id,刷新客戶頁面以後客戶購買的商品變成了2000
session固定攻擊
駭客可以使用把session id發給用戶的方式,來完成攻擊 http://localhost/index.php?user=dodo&PHPSESSID=1234 把此鏈接發送給dodo這個用戶顯示
然後攻擊者再訪問 http://localhost/attack.php?PHPSESSID=1234 後,客戶頁面刷新,發現商品數量已經成了2000
防範方法
1)定期更改session id
函數 bool session_regenerate_id([bool delete_old_session])
delete_old_session為true,則刪除舊的session文件;為false,則保留舊的session,默認false,可選
在index.php開頭加上
session_start();
session_regenerate_id(TRUE);
這樣每次從新加載都會產生一個新的session id
2)更改session的名稱
session的默認名稱是PHPSESSID,此變量會保存在cookie中,如果駭客不抓包分析,就不能猜到這個名稱,阻擋部分攻擊session_start();
session_name(“mysessionid”);
3)關閉透明化session id
透明化session id指當瀏覽器中的http請求沒有使用cookies來制定session id時,sessioin id使用鏈接來傳遞;打開php.ini,編輯session.use_trans_sid = 0
代碼中
int_set(“session.use_trans_sid”, 0);
session_start();
4)只從cookie檢查session id
session.use_cookies = 1 表示使用cookies存放session id
session.use_only_cookies = 1 表示只使用cookies存放session id,這可以避免session固定攻擊
代碼中
int_set(“session.use_cookies”, 1);
int_set(“session.use_only_cookies”, 1); p>
5)使用URL傳遞隱藏參數
session_start();
$seid = md5(uniqid(rand()), TRUE));
$_SESSION["seid"] = $seid;
攻擊者雖然能獲取session數據,但是無法得知$seid的值,只要檢查seid的值,就可以確認當前頁面是否是web程序自己調用的。
