Сеансы PHP установлены на другом сервере

Я пытаюсь понять сессий в php.
Насколько я понимаю, в базовой системе входа в систему сеансы работают так:
На странице exampledomain.com/login.php:

if (password_verify($_POST['user_password'], $result->password_hash)) {
//write user data into PHP SESSION
$_SESSION['user_name'] = $_POST['user_name'];
}

Затем на страницах, которые могут просматривать только зарегистрированные пользователи, я проверяю:

if (isset($_SESSION['user_name'])) {
//do something
}

Теперь я не понимаю, что если хакер на своих серверах (hackerdomain.com) сделает что-то подобное, предполагая, что он знает имя пользователя:

session_start();
$_SESSION['user_name'] = 'Test';

<form method="post" action="exampledomain.com/page-only-logged-in-users-can-view.php" name="loginform">
<input type="submit"  name="login" value="Login" />
</form>

Теперь он установил значение в $ _SESSION [‘user_name’], чтобы он мог войти без необходимости даже пароля.
Я очень запутался по поводу этого сеанса. Я читаю php документацию, но до сих пор не понимаю.

0

Решение

Сеанс в конце — это cookie, который сервер отправляет в браузер. Этот файл cookie является особенным и имеет некоторые свойства, такие как:

  • Название. Например, в php по умолчанию PHPSESSID
  • Значение. Для идентификатора сеанса — случайная строка, идентифицирующая файл cookie на сервере (этот файл cookie связан с такими данными, как имя пользователя, адрес электронной почты и т. Д.)
  • Домен: Определяет область действия куки-файлов в домене, где куки-файлы будут отправляться браузером (например, ненулевое значение означает, что основной сервер домена генерирует куки-файл без поддоменов. По умолчанию доменное имя включает субдомены)
  • Путь: Путь указывает путь URL, который должен существовать в запрошенном URL для отправки заголовка Cookie
  • Expires / Max-Age: срок действия cookie в определенный момент времени (например, 2018-08-03T17: 30: 56.146Z)
  • httpOnly: логическое значение, если true, то cookie не может быть доступен через javascript (document.cookie) для предотвращения XSS-атак
  • Безопасный: логическое значение, если истинный файл cookie должен быть отправлен по адресу https
  • Тот же сайт: Cookie-файлы SameSite позволяют серверам требовать, чтобы cookie-файлы не отправлялись с межсайтовыми запросами, что несколько защищает от атак подделки межсайтовых запросов (CSRF). Файлы cookie SameSite все еще являются экспериментальными и еще не поддерживаются всеми браузерами.

Больше информации на https://developer.mozilla.org/es/docs/Web/HTTP/Cookies

0

Другие решения

Сессия хранится на сервере, который обрабатывает запрос. Для каждого сеанса генерируется уникальный идентификатор.

Есть несколько атак против сессий:

  • Фиксация сессии — когда злоумышленник знает идентификатор сессии, он может явно установить PHPSESSID в URL. Обычно это устанавливается в файле cookie
  • Приглушение стороны сеанса, когда вы используете анализатор пакетов, чтобы получить cookie, и вы используете этот cookie.
  • XSS, когда кто-то помещает некоторый код f.e в iframe и когда вы заходите на страницу, он выполняет код с вашими правами в соответствии с сеансом

Если хакер сделает то, что вы написали, он сгенерирует сеанс, но на своем собственном сервере, а не на вашем. По умолчанию PHP хранит сессии в файлах, каталог установлен в php.ini и может быть виден с session_save_path(); функция. Несмотря на то, что он выполняет тот же код, он не будет иметь доступа к $result->password_hash потому что я думаю, что это исходит от БД, к которой у него нет доступа.

Надеюсь, вы понимаете это сейчас.

1

По вопросам рекламы [email protected]