Kiểm tra thứ hạng web Bảo mật Session trong lập trình PHP

Cửa Hàng Máy Tính HTL - Thành phố Kon Tum

- Địa chỉ:  302 đường Trần Phú, Tp Kon Tum

- Điện thoại: 0260.3867653 - 0905.015.899 Mr. Toàn

- Web: maytinhhtl.com - Email : admin@maytinhhtl.com

- Facebook: Cá nhânFanpage

Bản đồ đường đi map máy tính htl computer KonTum

Liên Hệ
Thứ sáu, 22 Tháng 2 2019

Bảo mật Session trong lập trình PHP

Chuyên mục: Bảo mật web

Session và Cookie trong lập trình PHP

 

Bảo mật Session trong lập trình PHP mới nhất

 

Có hai kiểu tấn công session phổ biến nhất đó là session cố định(session fixation) và cướp session ( session hijacking)  đây là 2 kiểu phổ biến thường gặp

Có hai kiểu tấn công session phổ biến nhất đó là session cố định(session fixation) và cướp session ( session hijacking) Khi một người triệu gọi trang web lần đầu tiên ứng dụng sẽ gọi session_start() để tạo ra sesion cho user. PHP sẽ tự động sinh ngẫu nhiên một định danh khác nhau cho mỗi user. Và sau đó nó send tạo một trên cookies với tên mặc định là PHPSESSID bạn có thể thay đổi tên mặc định của nó bằng cách thay đổi nó trong php.ini hoặc dùng hàm session_name() . Từ lần viếng thăm sau nó sẽ định danh user bằng cookies. Tuy nhiên có thểgán session qua chuỗi truy vấn. Đây là cách dễ ràng để tấn công sessionfixation bởi vì kẻ tấn công có thể thay đổi giá trị PHPSESSID.

Cách phổ biến là lưu trữ link trong ứng dụng của bạn nối thêm session id và saudụ ngưòi dùng kích vào Clickhere Trong khi truy cấp thường hay lưu thông tin đăng nhập trongsession. Nếu user đăng nhập vào với cùng session id thì kẻ tấn công cũng có thểtruy cập với session id đó vì vậy có thể truy cập vào thay đổi các thông tin account. Quan trọng hơn là nó sẽ tiến tới chiếm quyền điều khiển của những acount quảntrị.

Chúng ta có thể xuất tất cả các session id của tất cả các user bằng hàmsession_regenerate_id()

Mã:

session_start();

//  If  the  user  login  is  successful, regenerate  the  session  ID if  (authenticate()) {session_regenerate_id(); }

Cách làm trên chỉ bảo vệ user bởi cách tấn công session fixed và dễ dàng đềnghị truy cập của các kẻ tấn công . Nó không giúp chống lại được các kiểu tấncông phổ biến khác như kiểu session hijacking. Đúng hơn là cái này là một cáichung mà thời hạn mô tả bởi bất kì cái gì đó có nghĩa bởi các kẻ tấn công kiếmđược những session id của user hữu ích.

Ví dụ, một user tin rằng khi đăng nhập thì session id được định nghĩa lại và cómột session mới. cái gì sẽ sẩy ra nếu các kẻ tấn công mà phát hiện ID mới và cốgắng truy cập vào session của user ?

Session ID để định danh các yêu cầu khác nhau của các user khác nhau. một yêucầu đầư được trợ giúp đặc biệt và không thay đổi giữa các yêu cầu đầu khácnhau. nếu không chắc chắn(chiếm truờng hợp ít) user từ một trình duyệt có thểchuyển nó thành cái khác trong khi đang sử dụng cùng phiên làm việc. các yêucầu đầu để xác định rõ kiểu tấn công session hijacking.

Sau khi user đăng nhập lưu tác nhân user (User-Agent ) vào session:

$_SESSION[’user_agent’] = $_SERVER[’HTTP_USER_AGENT’]; Và sau đó khi trang đượcload lần hai kiểm tra chắc chắn rằng User-Agent không được thay đổi. Nếu nó bịthay đổi lên cho đăng nhập lại

Mã:

if  ($_SESSION[’user_agent’]  !=  $_SERVER[’HTTP_USER_AGENT’])

{

//  Force  user  to  log  in  againexit;

}

Bảo mật Session trong lập trình PHP mới nhất

Có hai kiểu tấn công session phổ biến nhất đó là session cố định(session fixation) và cướp session ( session hijacking) Khi một người triệu gọi trang web lần đầu tiên ứng dụng sẽ gọi session_start() để tạo ra sesion cho user. PHP sẽ tự động sinh ngẫu nhiên một định danh khác nhau cho mỗi user. Và sau đó nó send tạo một trên cookies với tên mặc định là PHPSESSID bạn có thể thay đổi tên mặc định của nó bằng cách thay đổi nó trong php.ini hoặc dùng hàm session_name() . Từ lần viếng thăm sau nó [...]

Bài liên quan :
Plugins bảo mật trang web Joomla
Những Plugin bảo mật web WordPress tốt nhất
Một số phương pháp bảo mật web Wordpress
Chmod an toàn cho wordpress
Bảo mật web wordpress
Chmod an toàn cho website
Sử dụng file .htaccess để block Bots và ban địa chỉ IP
Không cho IP/ISP truy cập website bằng .htacces
Phát hiện và chống xâm nhập Web Server với Mod Security
Hướng dẫn bảo mật PHP và Mysql phần 01
Hướng dẫn bảo mật PHP và Mysql phần 02
Hướng dẫn bảo mật PHP và Mysql phần 03
Dùng .htaccess bảo vệ file chống hack local
Lưu ý bảo mật dữ liệu cho web PHP sử dụng Shared hosting Linux
Bảo mật website bằng cách tối ưu file .htaccess
Bảo mật cho Website Joomla
Chuyển file configuration.php ra khỏi thư mục gốc trên host
Đặt password khi truy cập thư mục Administrator
Cách ngăn truy cập vào thư mục Administrator của Joomla!
Bảo mật website bằng .htaccess
3 cách phòng chống website khỏi SQL Injection
Một số phương pháp bảo mật website joomla

 

 

Cửa Hành Máy Tính HTL

- Địa chỉ:  302 đường Trần Phú, Tp Kon Tum, tỉnh Kon Tum

- Địện thoại: 0260.3867653 - 0905.015.899 Mr: Toàn

- Web: maytinhhtl.com - Email : admin@maytinhhtl.com

- Facebook: Cá nhânFanpage, Google Maps

Bản đồ đường đi máy tính HTL Kon Tum

Logo Cửa hàng Máy Tính HTL Kon Tum

Bảo mật web