session hijacking을 피하려면 특별한 조치를 취해야합니까? Kohana framework을 사용하고 있습니까? 세션이 Kohana Session 라이브러리로만 조작된다고 가정합니다.코 하나로 세션 도용 방지하기
0
A
답변
6
네이티브 세션은 쿠키 도용으로부터 보호되지 않기 때문에 가장 하이재킹되는 경향이 있습니다. PHP가 제공하는 기본값 이상으로 원시 세션에 적용되는 보안은 거의 없습니다. 보안을 강화하려면 사용자 에이전트 또는 IP 주소 확인을 추가해야합니다.
쿠키 세션은 암호화되고 암호화를 지원합니다. 보안을 강화하려면 Cookie::$salt을 변경해야합니다.
데이터베이스 세션도 소금에 절인 쿠키를 사용하여 세션 ID를 저장하므로 다시 소금을 바꿔야합니다.
편집 : v2는 네이티브 세션을 확장하므로 세션에 적용되는 보안이 강화되었습니다. 이 접근 방식은 이상한 PHP 문제를 일으키기 쉽지만 보안 기능이 뛰어납니다. user_agent
및 ip_address
검사를 추가하는 세션 구성 파일을 확인하십시오.
0
관련 파일을 GitHub에서 확인했습니다.
사용하는 드라이버에 따라 다릅니다. 네이티브 또는 db라면, 더 깊게 파고 싶을 수도 있습니다.
0
더 많은 보안을 위해 데이터베이스 세션을 사용하고 쿠키 (세션 ID 보유)를 암호화합니다.