首页 新闻 赞助 找找看

php session安全吗?如何建一个安全的会话机制?

0
悬赏园豆:100 [已关闭问题] 关闭于 2013-05-21 08:48

研究了几天session安全,得出几个观点,请指正:

  1. 可以xss通过获得cookie信息,包含sessionid
  2. 可以通过截取http,获得header信息,包含sessionid
  3. 以上两种法都有一定条件和难度
  4. 如果服务端单靠sessionid识别会话信息,那么通过xss获取了sessionid后,会泄露用户信息,如果再通过ip,useragent信息加以校验,可以减少风险
  5. 如果截取了http,换用https方式可以减少风险
  6. 即便是使用https,ssl证书也是可以伪造

结论:

  1. xss漏洞更低级一些,但是造成的风险很大。
  2. http截取,截取范围很小,风险小。当然,截取到admin的信息,那就不一样了。
  3. http截取/ssl证书伪造的技术要求、环境要求较高,防治的成本也大。
acjialiren的主页 acjialiren | 初学一级 | 园豆:191
提问于:2013-05-20 10:37
< >
分享
所有回答(1)
0
@@@一统@@@ | 园豆:1551 (小虾三级) | 2013-05-20 12:22
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册