Сеансы PHP установлены на другом сервере
Я пытаюсь понять сессий в php.
Насколько я понимаю, в базовой системе входа в систему сеансы работают так:
На странице exampledomain.com/login.php:
if (password_verify($_POST['user_password'], $result->password_hash)) {
//write user data into PHP SESSION
$_SESSION['user_name'] = $_POST['user_name'];
}
Затем на страницах, которые могут просматривать только зарегистрированные пользователи, я проверяю:
if (isset($_SESSION['user_name'])) {
//do something
}
Теперь я не понимаю, что если хакер на своих серверах (hackerdomain.com) сделает что-то подобное, предполагая, что он знает имя пользователя:
session_start();
$_SESSION['user_name'] = 'Test';
<form method="post" action="exampledomain.com/page-only-logged-in-users-can-view.php" name="loginform">
<input type="submit" name="login" value="Login" />
</form>
Теперь он установил значение в $ _SESSION [‘user_name’], чтобы он мог войти без необходимости даже пароля.
Я очень запутался по поводу этого сеанса. Я читаю php документацию, но до сих пор не понимаю.
Решение
Сеанс в конце — это cookie, который сервер отправляет в браузер. Этот файл cookie является особенным и имеет некоторые свойства, такие как:
- Название. Например, в php по умолчанию PHPSESSID
- Значение. Для идентификатора сеанса — случайная строка, идентифицирующая файл cookie на сервере (этот файл cookie связан с такими данными, как имя пользователя, адрес электронной почты и т. Д.)
- Домен: Определяет область действия куки-файлов в домене, где куки-файлы будут отправляться браузером (например, ненулевое значение означает, что основной сервер домена генерирует куки-файл без поддоменов. По умолчанию доменное имя включает субдомены)
- Путь: Путь указывает путь URL, который должен существовать в запрошенном URL для отправки заголовка Cookie
- Expires / Max-Age: срок действия cookie в определенный момент времени (например, 2018-08-03T17: 30: 56.146Z)
- httpOnly: логическое значение, если true, то cookie не может быть доступен через javascript (document.cookie) для предотвращения XSS-атак
- Безопасный: логическое значение, если истинный файл cookie должен быть отправлен по адресу https
- Тот же сайт: Cookie-файлы SameSite позволяют серверам требовать, чтобы cookie-файлы не отправлялись с межсайтовыми запросами, что несколько защищает от атак подделки межсайтовых запросов (CSRF). Файлы cookie SameSite все еще являются экспериментальными и еще не поддерживаются всеми браузерами.
Больше информации на https://developer.mozilla.org/es/docs/Web/HTTP/Cookies
Другие решения
Сессия хранится на сервере, который обрабатывает запрос. Для каждого сеанса генерируется уникальный идентификатор.
Есть несколько атак против сессий:
- Фиксация сессии — когда злоумышленник знает идентификатор сессии, он может явно установить PHPSESSID в URL. Обычно это устанавливается в файле cookie
- Приглушение стороны сеанса, когда вы используете анализатор пакетов, чтобы получить cookie, и вы используете этот cookie.
- XSS, когда кто-то помещает некоторый код f.e в iframe и когда вы заходите на страницу, он выполняет код с вашими правами в соответствии с сеансом
Если хакер сделает то, что вы написали, он сгенерирует сеанс, но на своем собственном сервере, а не на вашем. По умолчанию PHP хранит сессии в файлах, каталог установлен в php.ini и может быть виден с session_save_path(); функция. Несмотря на то, что он выполняет тот же код, он не будет иметь доступа к $result->password_hash потому что я думаю, что это исходит от БД, к которой у него нет доступа.
Надеюсь, вы понимаете это сейчас.