0
我設置的安全檢查的一部分是隨機生成一個整數作爲存儲爲$_SESSION變量的安全令牌。這通過特定的腳本進行驗證,並根據驗證是否爲布爾值將布爾值設置爲true或false(允許在通過其他檢查時進入站點)。黑客有可能以某種方式設置此會話變量?如果是這樣,怎麼樣?黑客可以設置PHP會話變量嗎?
A
回答
1
只有當你讓他們,like Joomla did(另見:the write-up for CVE-2015-8562)。
如果您的應用程序不允許攻擊者控制超級全局的內容,那麼他們完全無法控制它們。開箱即用,這是不可能發生的。
其他方式攻擊者可以控制的$_SESSION內容:
- 您存儲會話數據的數據庫驅動程序,並且無法通過TLS或SSH連接到它。
- 您將會話數據序列化並存儲在cookie中,然後未能正確實施加密安全的消息身份驗證。
但是總的來說,沒有。
相關問題
- 1. PHP客戶端可以設置$ _SESSION變量嗎?
- 2. PHP可變黑客
- 3. PHP會話變量設置不正確
- 4. 取消設置php會話變量
- 5. 設置PHP多維會話變量
- 6. PHP會話變量沒有被設置
- 7. php - 這可能會從其他會話中取消設置一個變量嗎?
- 8. 設置會話變量爲paramiko會話
- 9. 會話變量未設置
- 10. 設置會話變量
- 11. 會話變量未設置
- 12. 會話變量已設置
- 13. 設置會話變量
- 14. 可以使用jQuery會話變量嗎?調用一個php
- 15. php cron作業可以訪問會話變量/ cookies嗎?
- 16. 您可以在金字塔的MAKO文件中設置會話變量嗎?
- 17. Capistrano:我可以爲整個上限會話設置一個環境變量嗎?
- 18. 會話變量已設置,但PHP報告它沒有設置?
- 19. 是否可以從apache設置會話變量?
- 20. php變量會話變量
- 21. 可以在php中設置會話設置
- 22. PHP會話變量
- 23. Php - 會話變量
- 24. PHP會話變量
- 25. php會話變量
- 26. 我可以從現有變量中設置PHP類屬性嗎?
- 27. 可以使用內聯PHP設置JavaScript變量值嗎?
- 28. Facebook連接PHP會話變量不會設置
- 29. PHP會話變量不會取消設置
- 30. PHP可變會話
如果黑客可以設置會話變量,他也可以下載或修改您的所有代碼。會議不可能成爲目標。 –
一般不會。但是在應用程序中可能存在一個漏洞,允許類似的東西。 – Gumbo