0
我必須做任何特別的事情以避免session hijacking使用Kohana framework? 我假設會話只能用Kohana Session庫避免會話劫持與Kohana
A
回答
6
本機會話是最容易被劫持的,因爲它們不能防止cookie被竊取。除了PHP提供的默認值之外,對本地會話應用的安全性很小。爲了提高安全性,您應該添加用戶代理或IP地址檢查。
Cookie會話被醃製,並支持加密。您應該更改Cookie::$salt以提高安全性。
數據庫會話還使用鹽漬餅乾來存儲會話ID,因此您應該再次更改salt。
編輯:你在談論v2,它對會話有更高的安全性,因爲它擴展了本地會話。這種方法更容易出現奇怪的PHP問題,但提供了更高的安全性。檢查會話配置文件以添加user_agent和ip_address檢查。
0
操縱我會檢查出GitHub上的相關文件。
根據您使用的驅動程序,例如native或db,你可能想深入挖掘。
0
爲了更安全起見,我會使用數據庫會話並加密cookie(其中包含會話ID)。
相關問題
- 1. 避免會話劫持現場與HTTP
- 2. 在ASP.NET中避免會話劫持
- 3. 如何避免json劫持
- 4. 避免針對Web應用程序的會話劫持
- 5. 停止會話劫持
- 6. 會話劫持和PHP
- 7. 會話劫持安全
- 8. 會話劫持或攻擊?
- 9. ZK中的會話劫持預防
- 10. 怎麼辦HTTPS防止會話劫持
- 11. 實施會話劫持預防,正確
- 12. ASP.NET中的會話劫持保護
- 13. 防止會話劫持的好方法?
- 14. 如何防止tomcat會話劫持?
- 15. 避免ssh會話超時
- 16. iOS 5.1被UISplitViewController劫持的滑動手勢 - 如何避免?
- 17. 嘗試使用cURL避免ASP.NET會話
- 18. 如何避免存儲太多會話?
- 19. 避免創建多個會話變量
- 20. Tomcat會話驅逐以避免OutOfMemoryError
- 21. 避免掛斷會話和表鎖Oracle
- 22. 如何避免PHP會話錯誤?
- 23. 如何避免創建會話?
- 24. 會話劫持:抑制會話ID的過濾器的優點/缺點
- 25. 如何避免業務層中與會話相關的參數?
- 26. 如何防止會話劫持導致asp.net應用程序?
- 27. 如何在ssh會話中劫持tty1的輸入流?
- 28. 在Tomcat上發生Spring Security/JSF/Hibernate意外會話劫持?
- 29. 劫持會話發生在遠程計算機上嗎?
- 30. 關於ASP.NET中的會話劫持和保護