0
我設置的安全檢查的一部分是隨機生成一個整數作爲存儲爲$_SESSION變量的安全令牌。這通過特定的腳本進行驗證,並根據驗證是否爲布爾值將布爾值設置爲true或false(允許在通過其他檢查時進入站點)。黑客有可能以某種方式設置此會話變量?如果是這樣,怎麼樣?黑客可以設置PHP會話變量嗎?
A
回答
1
只有當你讓他們,like Joomla did(另見:the write-up for CVE-2015-8562)。
如果您的應用程序不允許攻擊者控制超級全局的內容,那麼他們完全無法控制它們。開箱即用,這是不可能發生的。
其他方式攻擊者可以控制的$_SESSION內容:
- 您存儲會話數據的數據庫驅動程序,並且無法通過TLS或SSH連接到它。
- 您將會話數據序列化並存儲在cookie中,然後未能正確實施加密安全的消息身份驗證。
但是總的來說,沒有。
相關問題
- 1. 我們可以將光標設置爲會話變量嗎?
- 2. PHP:通過可變的變量設置會話變量
- 3. PHP客戶端可以設置$ _SESSION變量嗎?
- 4. PHP可變黑客
- 5. 設置PHP多維會話變量
- 6. PHP會話變量未設置
- 7. PHP會話變量設置不正確
- 8. PHP會話變量沒有被設置
- 9. 取消設置php會話變量
- 10. PHP會話變量未設置
- 11. php - 這可能會從其他會話中取消設置一個變量嗎?
- 12. 設置會話變量爲paramiko會話
- 13. 的MySQL變量設置黑客
- 14. 設置會話變量
- 15. 會話變量未設置
- 16. 設置會話變量
- 17. 會話變量未設置
- 18. 設置會話變量
- 19. 設置會話變量
- 20. 設置會話變量
- 21. 會話變量已設置
- 22. 會話變量未設置
- 23. 可以使用jQuery會話變量嗎?調用一個php
- 24. php cron作業可以訪問會話變量/ cookies嗎?
- 25. 當php會話過期時,可以設置memcached expire鍵嗎?
- 26. 我可以使用php會話在多個客戶端之間共享會話變量嗎?
- 27. Capistrano:我可以爲整個上限會話設置一個環境變量嗎?
- 28. 您可以在金字塔的MAKO文件中設置會話變量嗎?
- 29. Salesforce會話變量,在會話中設置並獲取變量
- 30. ASP.Net會話變量 - 設置會話變量,然後重定向
如果黑客可以設置會話變量,他也可以下載或修改您的所有代碼。會議不可能成爲目標。 –
一般不會。但是在應用程序中可能存在一個漏洞,允許類似的東西。 – Gumbo