本文主要介紹針對PHP網站Session劫持。session劫持是一種比較復雜的攻擊方法。大部分互聯網上的電腦多存在被攻擊的危險。這是一種劫持tcp協議的方法，所以幾乎所有的局域網，都存在被劫持可能。

服務端和客戶端之間是通過session(會話)來連接溝通。當客戶端的瀏覽器連接到服務器后，服務器就會建立一個該用戶的session。每個用 戶的session都是獨立的，并且由服務器來維護。每個用戶的session是由一個獨特的字符串來識別，成為session id。用戶發出請求時，所發送的http表頭內包含session id 的值。服務器使用http表頭內的session id來識別時哪個用戶提交的請求。

session保存的是每個用戶的個人數據，一般的web應用程序會使用session來保存通過驗證的用戶賬號和密碼。在轉換不同的網頁時，如果 需要驗證用戶身份，就是用session內所保存的賬號和密碼來比較。session的生命周期從用戶連上服務器后開始，在用戶關掉瀏覽器或是注銷時用戶 session_destroy函數刪除session數據時結束。如果用戶在20分鐘內沒有使用計算機的動作，session也會自動結束。

php處理session的應用架構

會話劫持

會話劫持是指攻擊者利用各種手段來獲取目標用戶的session id。一旦獲取到session id，那么攻擊者可以利用目標用戶的身份來登錄網站，獲取目標用戶的操作權限。

攻擊者獲取目標用戶session id的方法:

　　1）暴力破解:嘗試各種session id，直到破解為止。

　　2）計算:如果session id使用非隨機的方式產生，那么就有可能計算出來 3）竊取:使用網絡截獲，xss攻擊等方法獲得

?

會話劫持的攻擊步驟:

實例：

1 //login.php 2 session_start(); 3 if (isset($_POST["login"])) 4 { 5 $link = mysql_connect("localhost", "root", "root") 6 or die("無法建立MySQL數據庫連接：" . mysql_error()); 7 mysql_select_db("cms") or die("無法選擇MySQL數據庫"); 8 if (!get_magic_quotes_gpc()) 9 { 10 $query = "select * from member where username=’" . addslashes($_POST["username"]) . 11 "’ and password=’" . addslashes($_POST["password"]) . "’"; 12 } 13 else 14 { 15 $query = "select * from member where username=’" . $_POST["username"] . 16 "’ and password=’" . $_POST["password"] . "’"; 17 } 18 $result = mysql_query($query) 19 or die("執行MySQL查詢語句失敗：" . mysql_error()); 20 $match_count = mysql_num_rows($result); 21 if ($match_count) 22 { 23 $_SESSION["username"] = $_POST["username"]; 24 $_SESSION["password"] = $_POST["password"]; 25 $_SESSION["book"] = 1; 26 mysql_free_result($result); 27 mysql_close($link); 28 header("Location: http://localhost/index.php?user=" . 29 $_POST["username"]); 30 }

//index.php session_start();// 打開Session

訪客的 Session ID 是：echo session_id();

訪客：echo htmlspecialchars($_GET["user"], ENT_QUOTES);

book商品的數量：echo htmlspecialchars($_SESSION["book"], ENT_QUOTES);

如果登錄成功，使用

　　 $_SESSION["username"] 保存賬號

　 　$_SESSION["password"] 保存密碼

　　 #_SESSION["book"] 保存購買商品數目

?

開始攻擊

1 //attack.php 2 session_start();// 打開Session 3 echo "目標用戶的Session ID是：" . session_id() . ""; 4 echo "目標用戶的username是：" . $_SESSION["username"] . ""; 5 echo "目標用戶的password是：" . $_SESSION["password"] . ""; 6 // 將book的數量設置為2000 7 $_SESSION["book"] = 2000;

提交 http://www.XXX.com/attack.php?PHPSESSID=5a6kqe7cufhstuhcmhgr9nsg45 此ID為獲取到的客戶session id,刷新客戶頁面以后客戶購買的商品變成了2000

?

session固定攻擊

黑客可以使用把session id發給用戶的方式，來完成攻擊 http://localhost/index.php?user=dodo&PHPSESSID=1234 把此鏈接發送給dodo這個用戶顯示 然后攻擊者再訪問 http://localhost/attack.php?PHPSESSID=1234 后，客戶頁面刷新，發現商品數量已經成了2000

防范方法

1）定期更改session id 函數 bool session_regenerate_id([bool delete_old_session]) delete_old_session為true，則刪除舊的session文件；為false，則保留舊的session，默認false，可選 在index.php開頭加上 session_start(); session_regenerate_id(TRUE); 這樣每次從新加載都會產生一個新的session id

2）更改session的名稱 session的默認名稱是PHPSESSID,此變量會保存在cookie中，如果黑客不抓包分析，就不能猜到這個名稱，阻擋部分攻擊session_start(); session_name(“mysessionid”);

3）關閉透明化session id 透明化session id指當瀏覽器中的http請求沒有使用cookies來制定session id時，sessioin id使用鏈接來傳遞；打開php.ini，編輯session.use_trans_sid = 0 代碼中 int_set(“session.use_trans_sid”, 0); session_start();

4）只從cookie檢查session id session.use_cookies = 1 表示使用cookies存放session id session.use_only_cookies = 1 表示只使用cookies存放session id，這可以避免session固定攻擊 代碼中 int_set(“session.use_cookies”, 1); int_set(“session.use_only_cookies”, 1); p>

5）使用URL傳遞隱藏參數 session_start(); $seid = md5(uniqid(rand()), TRUE)); $_SESSION["seid"] = $seid; 攻擊者雖然能獲取session數據，但是無法得知$seid的值，只要檢查seid的值，就可以確認當前頁面是否是web程序自己調用的。

[via@91ri]

轉載于:https://www.cnblogs.com/im404/p/3506170.html

總結

以上是生活随笔為你收集整理的PHP漏洞之session会话劫持的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。