4回答
据我所知,会话劫持的基本概念是拦截一个数据包,其中受害者将其cookie/会话凭据发送到服务器,无论是Facebook/Twitter/YouTube/其他什么。
但是无论我看什么,不管我读到什么,都需要一个MITM (中间人)攻击。我不明白为什么。数据包被广播到整个网络。我可以看到(或者至少应该看到)那些带有Wireshark的包。如果我带着笔记本电脑进入咖啡店,我应该看到网络上所有的流量,我为什么要执行MITM攻击呢?
浏览 0提问于2016-01-22得票数 2
我需要一种方法来在两个页面之间传递一个安全的方式变量。
我知道我可以使用POST / GET / Cookie / Session或隐藏字段,但我认为这些方法都不够安全,因为:
可以在url中看到get。
cookies是一个客户端,因此可以从客户端进行更改
会话可以对抗会话ID劫持和...
现在我想知道有没有比这些方法更好的方法,如果没有的话,是以安全的方式传递变量的最好方法;
浏览 0提问于2012-10-30得票数 6
回答已采纳
1回答
我正在尝试制作一个基于PHP的安全登录系统,但遇到了一些我不确定如何处理的问题。
用户登录后,检查他们是否已在后续页面登录的最佳方法是什么?目前我正在设置会话变量,但我也应该使用其他方法吗?我应该在他们每次登录时生成一个唯一的ID吗?如果是,我将如何使用它?在数据库中存储一个副本&作为cookie,并在每次加载页面时对它们进行比较?或者你们能想到的任何其他方法。
提前感谢大家。
浏览 2提问于2011-12-21得票数 2
回答已采纳
我正在为自己建立一个网站,连接到一个用户数据库。一旦用户登录,我就将用户名保存到一个会话变量中。例如,会话“user”= anyString;因此,每次用户访问我网站上的页面时,我都会检查这个用户变量是否为null,并匹配数据库中的用户。如果返回false,则将用户重定向到我的主页。
现在我的问题是,这是一个安全的做法吗?可以从外部操作/访问会话吗?
浏览 2提问于2015-02-10得票数 1
回答已采纳
3回答
我只是好奇。我见过一些更新会话id的方法。我知道会话的重要性,但我不明白的是为什么要更新会话ID。
在CodeIgniter (PHP框架)中,默认情况下,会话id每5分钟更新一次。这是我们在这里讨论的安全问题吗?我只想知道。感谢回答问题的人!:)
浏览 7提问于2012-02-24得票数 3
CFID、CFTOKEN和jsessionid值的组合支持ColdFusion会话。当第一次命中cfm页面时,将建立这些值,从而创建会话。
我的问题是,如果会话是在HTTP下创建的,然后单击链接进入HTTPS下的登录页面,这些会话令牌值是否因为它们是在http下创建的而受到损害(即它们是作为请求的一部分以明文传递的)。
我猜测,有人敏锐地嗅探公共路由器,可以获得这些值,然后从那时起欺骗会话。我知道,这肯定是很少见的,但仍然是一个令人担忧的问题。
浏览 0提问于2011-08-03得票数 3
回答已采纳
1回答
一旦从合法用户的会话中窃取了cookie,我可以对该用户执行“远程”cookie重放攻击吗?
我能够在同一个系统上成功地执行cookie重放攻击,但是我想尝试一下,如果cookie重放攻击从外部系统是可能的。这个是可能的吗?
浏览 0提问于2015-12-18得票数 2
原始“记住我”登录实现:
加法:
Millers最初实现的一个“记住我”的持久登录功能很容易让我理解--没有问题。
不过,让我感到困惑的是,在改进版本中添加额外的“系列标识符”会有什么帮助--因为如果“记住我”的cookie被偷了,那么攻击者只需将该cookie呈现给网站,并可以使用它,直到原始用户尝试使用自己的cookie --此时,由于凭据不匹配,数据库中的详细信息就会被删除,用户和攻击者将被“注销”。
但是,在那个原始用户试图使用他的cookie之前,攻击者不能简单地使用被盗的凭据吗?
浏览 1提问于2015-07-23得票数 1
回答已采纳
我看到facebook通过http发送cookie。如何确保它们不被劫持?如果我要将cookie复制到另一台计算机上,我是否会登录?
浏览 1提问于2011-05-18得票数 5
回答已采纳
我真的对如何保护PHPSESSID一无所知。session_id的值是否来自PHPSESSID?如果session_id遭到破坏,那将是灾难性的。有谁有什么想法吗?
浏览 0提问于2009-08-04得票数 2
最近,我们从URL中删除了jsessionid,进行基于cookie的会话管理,以防止“会话劫持攻击”。
但是我们发现,当启用cookie时,第一个请求URL总是有jsessionid,而随后的请求URL没有jsessionid。
使用来自第一个url的jsessionid,我们可以直接访问工作流中的其他页面。
问题:是否存在仅在第一个请求时才暴露jsessionid的安全漏洞?
有一个从第一个请求中删除jsessionid的解决方案,但是希望检查它是否真的很容易强制执行更改。
谢谢J
编辑:我已经澄清了我的疑虑。谢谢你的回复。
浏览 4提问于2011-01-18得票数 4
1回答
我计划不对我的web应用程序使用HTTPS。我使用摘要身份验证作为安全登录到我的系统的方法。在用户通过身份验证后,我只需定期(1分钟)向他们发送nonce。当用户发出请求时,我只是在向他们发送响应之前检查nonce是否过期。
我想知道是否有必要保护用户session_id以防攻击者重播随机数或猜测随机数生成机制?如果是,我如何保护session_id
浏览 6提问于2016-03-30得票数 0
首先,在我进行所有必要的代码更改以在我的网站上实现这一点之前,我会问这个问题。我的应用程序中99%的数据是通过ajax生成的,并以json的形式传输回负责生成所有html内容的javascript。这与Angular.js类似,但使用的是php后端。index.php所做的唯一事情就是启动会话和其他一些与会话相关的任务,比如区分来宾和登录用户,以及更新上次看到的客户/用户ip地址。
我想做的是:
在创建会话id之后,使用session_id()获取会话的id。
将其添加到数组并对其进行json编码。
用javascript对json进行解码,并使用jQuery cookie插件手动
浏览 1提问于2014-07-31得票数 1
回答已采纳
我希望我的应用程序的用户在很长一段时间内保持登录状态。问题是会话在服务器端过期,因此丢失了会话中存储的变量。因此,我将会话设置为10天后到期。
我的问题是:将GC过期和cookie生存期设置为10天是否存在安全或性能问题?
ini_set('session.cookie_lifetime', 864000);
ini_set('session.gc_maxlifetime', 864000);
浏览 2提问于2009-10-17得票数 1
第三方zend加密系统有Web,让我们通过它登录并获取session_id (用于以后的调用?)然后有一个任务,如何绕过具有该session_id的登录表单。
这样的事情有可能发生吗?
浏览 1提问于2010-04-02得票数 1
2回答
如何区分这些会话劫持/会话固定/会话骑马。当同时阅读这三个方面时,我发现很难理解。当我比较劫持和固定的时候,我会感到非常困惑,因为有一种细线的尊重。有人能提供一个技术上的,但易于理解的解释吗?
浏览 0提问于2016-10-03得票数 2
回答已采纳
2回答
我有一个基本的网站,我用来测试我的编程方法,我想得到一个半体面的安全方式,让人们登录。这是register.php的代码。
$username = $_POST["username"]; //username stored plaintext
$passhashed = crypt($_POST["password"], $username); //hashed password salted with username
$rnum = rand(1000,9999); //assign random 4-digit number
$authkey = cryp
浏览 1提问于2013-09-22得票数 1
回答已采纳
1回答
我正在写一个登录脚本。当用户成功登录时,我设置了$_SESSION['logged_in'] = TRUE;
然后,如果是$_SESSION['logged_in'] = TRUE;,我只需检查其他页面,如果是,我将显示适当的内容
一切都很好,但现在我增加了更多的安全性。在登录时对照存储在数据库中的session_id检查当前用户的session_id是否有益?这将有助于防止会话劫持吗?如果没有,我是否应该采取其他预防措施?
浏览 5提问于2012-08-23得票数 0
回答已采纳
我正在致力于我的网站的安全,我会理解为什么session_regenerate_id应该谨慎使用。在php手册文档()中,他们说:
目前,session_regenerate_id不能很好地处理不稳定的网络,例如移动网络和WiFi网络。因此,您可能会通过调用session_regenerate_id来体验丢失的会话。
您不应立即销毁旧会话数据,而应使用销毁时间戳并控制对旧会话ID的访问。否则,对页的并发访问可能会导致不一致的状态,或者您可能丢失了会话,或者可能导致客户端(浏览器)侧争用情况,并可能不必要地创建多个会话ID。即时会话数据删除也禁止会话劫持攻击的检测和预防。
我不明白为什么
浏览 2提问于2019-04-04得票数 5
1回答
会话劫持
、、、
我知道一种做会议劫持的方法
1.从chrome浏览器复制会话值并将cookie值粘贴到firefox浏览器
还有其他方式来做会话劫持吗?如果是,请分享进行会话劫持的过程。
浏览 0提问于2015-07-13得票数 -4
将敏感信息(用户ID、连接字符串、我可能不希望其他用户看到的内容)放在ViewBag中是个坏主意吗?外部用户可以以任何方式获取该信息吗?
我的想法是不,他们无法到达它(我已经尝试过了,不是说我在LulzSec中),但我对别人的想法很好奇。
提前感谢!
浏览 2提问于2011-08-19得票数 3
回答已采纳
1回答
我在我的网站中有一个管理面板,我可以从它登录来管理我的网站,对于登录身份验证,我使用了一个代码来检查用户名和密码是否存在于dB中,如果存在,我设置一个变量为true,如下所示:$_SESSION' admin _logged'= true;
我想知道这种方式是否安全。因为我在某个地方听说过会话变量可能会被窃取或嗅探,或者类似的东西。但是,我真的不知道那是什么意思。当变量被保存在服务器端时,如何窃取它们呢?如果可能的话,我怎样才能防止这种情况发生。非常提前感谢您。
浏览 4提问于2015-09-21得票数 0
JSessionID是否考虑用于会话变量重载(也称为会话困惑)?
java web应用程序部署在HTTPS中。
管理用户登录到应用程序。登录后,将发出一个新的JSessionID。
另一个非管理用户设法获得管理用户JsessionID。
使用Jsession Id,非管理用户执行一些管理功能。
会否被视为令人费解的会话?
浏览 0提问于2017-07-20得票数 1
2回答
例如,如果我只是关闭页面或浏览器或其他任何东西(而不单击网站上的“注销”)--这会以某种方式危及我的帐户(信息泄漏或非法访问帐户)吗?
浏览 0提问于2015-10-27得票数 -1
假设一个页面显示给一个经过身份验证的用户,上面有各种删除链接。每个链接都有一个现时值。如何防止黑客嗅探到该连接并获得nonce,然后立即使用它通过欺骗经过身份验证的用户并使用nonce来删除一堆数据?
浏览 0提问于2011-06-30得票数 1
回答已采纳
3回答
知道用户是否是正确的人而不是黑客的最好方法是什么?例如,在我的项目中,当用户登录时,我创建了一些带有某个数字的会话变量,然后在其他页面上,我检查这个会话变量,并根据它的值为用户提供一些选项。
那么黑客可以以某种方式改变这个变量,这样服务器端就会授予他访问某些选项的权限吗?
如果是这样的话,持有一些用户权限并将它们传递到不同页面的最佳方式是什么,这样服务器就可以为该用户授予一些选项?
浏览 3提问于2011-08-30得票数 1
回答已采纳
我想知道会话是否足够安全,可以对用户进行身份验证。基本上,当启动新会话时,服务器会生成唯一的会话id。并且id用于区分不同的用户。
但是,黑客有没有可能窃取别人的会话id呢?如何防止他人窃取我的会话id?在我看来,黑客也可以通过意外或暴力破解来猜测会话id。
你能回答这个问题吗?这样我就可以理解会话的概念,成为一名更好的软件开发人员。
浏览 0提问于2013-03-14得票数 3
感谢您的回复。我已经更新了我的PHP会话代码。
我有一个( HTTPS )-login.php,它仍然保持HTTPS,即一旦用户登录到帐户仪表板。现在的问题是,假设用户在登录仪表板时点击( HTTP )-about-us.php页面,会话不会像我有session.cookie_secure=1那样通过HTTP传输,这很好的用户显示为已注销。但是,当用户返回到仪表板页面时,他是否也注销了HTTPS?
我相信我遗漏了一些导致这个问题的东西。下面是我的代码:
这是在login.php页面上启动会话时所需的PHP头文件:
session_start();
session_regenerate_id(t
浏览 4提问于2011-05-02得票数 7
回答已采纳
1回答
PHP身份验证安全性
、、、
我为我的web项目构建了一个基本的php身份验证系统。我只是想问它是否安全,因为我只是担心会话劫持和sql注入问题。代码如下。
用户表单字段包含电子邮件的user_email文件名和密码的密码字段名
PHP user validation code
<?php
session_start();
// // check if user session is set or not
if(isset($_SESSION['user'])){
// session is set redirect to user home
he
浏览 5提问于2017-04-15得票数 0
谁能给我解释一下cakephp中的Session.autoRegenerate到底是什么?我已经阅读了,但不幸的是它对我来说仍然不是很清楚……
浏览 0提问于2015-10-20得票数 1
3回答
会话劫持安全
、、
所以我有几种不同的方法来尝试和防止会话劫持,一种是使用HTTP_USER_AGENT并检测它在会话期间是否发生了变化。这样做的问题是,如果用户使用移动电话访问网站,并从移动视图更改为桌面视图,则用户代理将更改,并且用户会收到以下错误:
if (isset($_SESSION['HTTP_USER_AGENT']))
{
if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT']))
{
echo "Error: security i
浏览 1提问于2012-03-05得票数 0
我想使用苹果推送通知服务,所以我需要一个服务器。这个服务器必须每x分钟检查一次站点。
必须检查的站点如何要求用户登录。
因此,让用户登录web浏览器,然后上传包含会话信息(而不是用户的用户名或密码)的cookie,并将其存储在一个只有一个表的数据库中,其中包含两个字段“cookie”和“deviceToken”,这样cookies就可以与设备令牌相关联了。
然后用用户的cookie代表用户执行从服务器到站点的请求,如果站点已经更改,则向用户推送通知。
这是一种安全的方法吗?我将如何实现这个方法,以便其他人都不能访问数据库并下载cookie呢?
而且,只要我让用户选择启用或禁用推送通知(既不
浏览 0提问于2011-03-07得票数 4
2回答
我一直在测试我的PHP应用程序是否存在RFI漏洞。在执行扫描时,我能够在我的web应用程序中执行RFI。
设想情况:
在我的web应用程序中,RFI只在用户的会话出现时才能工作。我需要向开发人员演示RFI。
样本演示:
GET /cdn-cgi/pe/bag2?r[]=https://portswigger.net/f517a2bc19bdff66d7c64e8a7ad2f043.txt HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:44.0) Gecko/20100101 Firefox/4
浏览 0提问于2016-03-08得票数 4
回答已采纳
1回答
会话重放与会话固定与会话劫持
、、、、
有人能给出会话固定、会话重放和会话劫持攻击之间的明显区别吗?我读过很多文章,但在劫持会话和重放攻击之间还不清楚。
浏览 9提问于2017-05-03得票数 7
2回答
我一直想知道我的应用程序的安全方面。我正在为我的项目使用CodeIgniter PHP框架。
我想知道一些“专家”的意见。我有一个登录功能。当用户登录时,会话存储在数据库中。我在信息会话中添加了像用户Id这样的信息。用户可以创建公司。但要做到这一点,我首先检查他的帐户,看看他是否已经有一个帐户。这个会话用户Id允许我运行一个DB请求来找出答案。例如:
function create(){
$hasCompany = $this->Accountmodel->hasCompany($this->session->userdata('id'));
浏览 0提问于2012-10-01得票数 0
回答已采纳
我已经开发了我的网站,用于检查用户是否已注册,并使用用户名创建会话变量。这就是作为会话变量存储的所有内容。如果我想保护我的页面(这样只有注册用户才能看到它们),我会检查是否设置了会话变量。这个安全吗?或者你能给出一种更安全的方法吗?
浏览 2提问于2009-01-25得票数 8
回答已采纳
在web应用程序的上下文中,用户连接到此应用程序,并设置会话id cookie来验证用户的下一个请求。由于cookie实际上是在提交登录表单之前出现的,因此在登录成功时没有生成新的值,相反,cookie中的值是按原样计算的。例如,普通用户可以选择将值设置为‘0000000000000000000000000000’。
现在我不知道了,但可能有一种方法,攻击者可以在登录之前设置受害者的cookie值,登录成功后,该值对服务器有效并被接受,然后攻击者可以使用该值输入受害者的帐户。
因此,服务器不一定选择会话id cookie的值,这是否存在安全风险?
编辑:关于第一个答案的一些精确性。我删除了标签
浏览 0提问于2013-04-30得票数 6
回答已采纳
2回答
对于我的Symfony2项目,我使用数据库中的会话存储。
因此,我这样配置我的config.yml:
framework:
session:
handler_id: session.handler.pdo
parameters:
pdo.db_options:
db_table: session
db_id_col: session_id
db_data_col: session_value
db_time_col: session_time
services:
pdo
浏览 1提问于2014-05-21得票数 8
回答已采纳
3回答
我试图把我的头脑围绕着会话劫持和使用令牌来保护CSRF。我在每个脚本中都使用此对象方法来检查是否设置了会话变量或令牌是否与会话令牌匹配。
public function admin_index(){
session_start();
if(!isset($_SESSION["user"]) || $_GET['token']!=$_SESSION['token']) {
header("location: login/login_form.php");
session_destroy();
exit();
浏览 3提问于2011-11-01得票数 1
回答已采纳
1回答
有没有办法保护worklight适配器,使适配器过程只能通过应用程序本身调用?目前,如果我没记错的话,你可以访问应用程序外部的适配器,理论上,如果会话被劫持,它会带来安全风险。
浏览 0提问于2015-12-15得票数 0
这些问题是相关的:和,前者说它是用来防止相同域中的应用程序之间的名称冲突的。后者表示,它可以用于反会话劫持。
虽然前者似乎是session_name()的真正目的,但我不确定后者。它真的能防止会话劫持吗?我认为这会使攻击者在查找cookie名称而不是默认的PHPSESSID时感到困惑,但这就是全部吗?
session_name()的真正目的是什么?
浏览 3提问于2012-08-22得票数 0
回答已采纳
我不担心也不担心,但我很好奇,如果我离开使用SSH连接的putty客户端,我可能会让我的主服务器暴露出哪种类型的攻击。
我使用putty连接到EC2承载的虚拟Linux。服务器拥有一个静态网站,用于测试个人项目。
服务器使用带有烧瓶的python脚本来运行网站,一旦我登出,脚本就会停止,所以我只需要打开连接,因为它不会自动超时。
是否存在与这样打开连接相关的漏洞?有没有一种方法可以让脚本在盒子上运行,而不必通过putty客户端登录呢?
谢谢!
浏览 0提问于2016-06-24得票数 2
回答已采纳
1回答
水瓶与ASP经典的共享会话
、、、、
我们正在移植到用ASP经典语言编写的POS应用程序烧瓶。我们希望渐进式地滚出页面,以便一些页面使用水瓶,而有些页面使用ASP经典。
障碍是在两者之间共享共享会话,包括共享身份验证变量。我对此有两个问题:
正确的方法需要以cookie的形式共享会话吗?
如果是这样的话,我如何在烧瓶上完成基于cookie的身份验证,这样我就可以使用我从ASP经典发送的cookie获得用户变量了?
浏览 2提问于2017-02-15得票数 0
回答已采纳
3回答
我读过很多,很多,很多关于“你可能把密码存储错了”的文章。它们总是指在用户登录的服务器上存储密码;它们基本上是重排(双关意)普遍存在的建议,比如确保将密码存储起来等等。然而,我从未见过一篇关于在客户端上存储密码的最佳实践的文章,这样客户端不必每次登录时都需要手动登录;“记住我”功能。
许多软件都有这样的功能,从浏览器到Dropbox之类的程序。
我最近确实读过一篇旧文章关于Dropbox是如何在您的计算机上存储一个ID的,您可以将这个ID复制/粘贴到另一台计算机上,然后启动Dropbox,然后作为您获得ID的设备登录;没有登录,没有任何东西,以及对Dropbox帐户的完全访问。这似乎是一个非常
浏览 0提问于2013-06-05得票数 18
我想知道与IP欺骗相关的其他攻击,因为我们正在尝试实现源地址验证(SAVA),并希望在哪里可以使用源地址验证技术?这是一个项目的目的和任何最近的参考/建议将是非常有帮助的。
浏览 0提问于2016-01-10得票数 2
等线程和Chris Shiflett等人建议检查用户代理( $_SESSION['HTTP_USER_AGENT'] ),以帮助检查会话有效性。一些甚至推荐这样的东西:
<?php
$string = $_SERVER['HTTP_USER_AGENT'];
$string .= 'SHIFLETT';
/* Add any other data that is consistent */
$fingerprint = md5($string);
?>
然而,说:“浏览器代理的世界与用户的世界相比是微不足道的,所以每个用户都不
浏览 0提问于2011-08-04得票数 1
回答已采纳
允许您指定Servlet会话绑定到SSL会话。Tomcat支持这个。在Jetty有任何机制来实现这一点吗?
例如,如果我在Servlet init中执行以下操作;
@WebServlet(urlPatterns ={ "/session_test" })
公共类SessionTestServlet扩展HttpServlet {
private static final SessionTrackingMode[] modeArray = { SessionTrackingMode.SSL };
private static final Set<SessionTracking
浏览 6提问于2014-10-01得票数 2
回答已采纳
我使用一个web套接字连接到一个容器,docker使用Docker API。 (搜索websocket)
我唯一的问题是,容器将脚本作为命令/tools/script.sh运行,当我使用attach时,我只能看到脚本的日志,而不能实际连接到linux环境。
有没有办法运行脚本命令并能够使用docker attach?
docker exec -ti container bash可以工作,但在javascript中没有web套接字实现
浏览 2提问于2018-04-08得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
