PHPSESSID欺骗
PHPSESSID欺骗
提问于 2019-01-10 15:11:49
好的,我知道,通过猜测成功地欺骗PHPSESSID并不是一个可能的攻击矢量,即使是一个非常繁忙的网站。
但是,我想知道PHP是否有任何措施通过识别不存在PHPSESSID的请求来阻止蛮力猜测。
如果没有,是否有任何PHP函数可用于识别由于PHPSESSID错误而被拒绝的会话启动?
或者这些攻击是如此的不可能,以至于没有必要采取这样的措施?
回答 1
Stack Overflow用户
发布于 2019-01-10 16:08:28
我认为,是的,“这些攻击是不太可能的,因此没有必要采取这些措施。”事实上,它们可能根本不是“攻击”。
如果我决定在回应网站前吃晚饭,尤其是如果我在那次晚宴上喝了一杯美酒,那就有一个非常(!)好机会..。嗯哼..。我的会议已经结束了。这不是“攻击”
会话ID "nonce“从根本上说是一个随机值,在一个非常大的数字空间中,”蛮力“实际上是行不通的。因此,唯一可信的“攻击”将是,一个仍然存在的身份证会被一个邪恶的人偷走,这个人必然会从一个不同的IP地址发起合法的攻击。而且,据我回忆,现有的PHP会话处理逻辑已经考虑到了这一点。
(“花生画廊™,请插进来”-是吗?)
当然,我也假定,作为“您”网页的一部分,您完全控制了发送到用户浏览器的所有内容。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/54131625
复制相关文章
相似问题
腾讯云开发者
