PHP漏洞全解(七)-Session劫持

標籤：des   http   使用   檔案   os   資料   

本文主要介紹針對PHP網站Session劫持。session劫持是一種比較複雜的攻擊方法。大部分互連網上的電腦多存在被攻擊的危險。這是一種劫持tcp協議的方法，所以幾乎所有的區域網路，都存在被劫持可能。

服務端和用戶端之間是通過session(會話)來串連溝通。當用戶端的瀏覽器串連到伺服器後，伺服器就會建立一個該使用者的session。每個用 戶的session都是獨立的，並且由伺服器來維護。每個使用者的session是由一個獨特的字串來識別，成為session id。使用者發出請求時，所發送的http表頭內包含session id 的值。伺服器使用http表頭內的session id來識別時哪個使用者提交的請求。

session儲存的是每個使用者的個人資料，一般的web應用程式會使用session來儲存通過驗證的使用者帳號和密碼。在轉換不同的網頁時，如果 需要驗證使用者身份，就是用session內所儲存的帳號和密碼來比較。session的生命週期從使用者連上伺服器後開始，在使用者關掉瀏覽器或是登出時使用者 session_destroy函數刪除session資料時結束。如果使用者在20分鐘內沒有使用電腦的動作，session也會自動結束。

php處理session的應用架構

工作階段劫持

工作階段劫持是指攻擊者利用各種手段來擷取目標使用者的session id。一旦擷取到session id，那麼攻擊者可以利用目標使用者的身份來登入網站，擷取目標使用者的操作許可權。

攻擊者擷取目標使用者session id的方法:

1）暴力破解:嘗試各種session id，直到破解為止。

2）計算:如果session id使用非隨機的方式產生，那麼就有可能計算出來

3）竊取:使用網路截獲，xss攻擊等方法獲得

工作階段劫持的攻擊步驟

執行個體

1. //login.php 
3. session_start(); 
4. if (isset($_POST["login"])) 
5. { 
6. $link = mysql_connect("localhost", "root", "root") 
7. or die("無法建立MySQL資料庫連接：" . mysql_error()); 
8. mysql_select_db("cms") or die("無法選擇MySQL資料庫"); 
9. if (!get_magic_quotes_gpc()) 
10. { 
11. $query = "select * from member where username=’" . addslashes($_POST["username"]) . 
12. "’ and password=’" . addslashes($_POST["password"]) . "’"; 
13. } 
14. else 
15. { 
16. $query = "select * from member where username=’" . $_POST["username"] . 
17. "’ and password=’" . $_POST["password"] . "’"; 
18. } 
19. $result = mysql_query($query) 
20. or die("執行MySQL查詢語句失敗：" . mysql_error()); 
21. $match_count = mysql_num_rows($result); 
22. if ($match_count) 
23. { 
24. $_SESSION["username"] = $_POST["username"]; 
25. $_SESSION["password"] = $_POST["password"]; 
26. $_SESSION["book"] = 1; 
27. mysql_free_result($result); 
28. mysql_close($link); 
29. header("Location: http://localhost/index.php?user=" . 
30. $_POST["username"]); 
31. } 

…..

1. //index.php 
3. // 開啟Session 
4. session_start(); 
6. 訪客的 Session ID 是：echo session_id(); ?> 
7.  
9. 訪客：echo htmlspecialchars($_GET["user"], ENT_QUOTES); ?> 
10.  
12. book商品的數量：echo htmlspecialchars($_SESSION["book"], ENT_QUOTES); ?> 
13. 如果登入成功，使用 
14. $_SESSION["username"] 儲存帳號 
15. $_SESSION["password"] 儲存密碼 
16. #_SESSION["book"] 儲存購買商品數目 

登入以後顯示

開始攻擊

1. //attack.php 
2. php 
3. // 開啟Session 
4. session_start(); 
5. echo "目標使用者的Session ID是：" . session_id() . "<br />"; 
6. echo "目標使用者的username是：" . $_SESSION["username"] . "<br />"; 
7. echo "目標使用者的password是：" . $_SESSION["password"] . "<br />"; 
8. // 將book的數量設定為2000 
9. $_SESSION["book"] = 2000; 
10. ?> 

提交 http://localhost/attack.php?PHPSESSID=5a6kqe7cufhstuhcmhgr9nsg45 此ID為擷取到的客戶session id,重新整理客戶頁面以後

客戶購買的商品變成了2000

session固定攻擊

駭客可以使用把session id發給使用者的方式，來完成攻擊

http://localhost/index.php?user=dodo&PHPSESSID=1234 把此連結發送給dodo這個使用者顯示

然後攻擊者再訪問 http://localhost/attack.php?PHPSESSID=1234 後，客戶頁面重新整理，發現

商品數量已經成了2000

防範方法

1）定期更改session id

函數 bool session_regenerate_id([bool delete_old_session])

delete_old_session為true，則刪除舊的session檔案；為false，則保留舊的session，預設false，可選

在index.php開頭加上

 

session_start();

session_regenerate_id(TRUE);

……

這樣每次從新載入都會產生一個新的session id

2）更改session的名稱

session的預設名稱是PHPSESSID,此變數會儲存在cookie中，如果駭客不抓包分析，就不能猜到這個名稱，阻擋部分攻擊

 

session_start();

session_name("mysessionid");

……

3）關閉透明化session id

透明化session id指當瀏覽器中的http請求沒有使用cookies來制定session id時，sessioin id使用連結來傳遞；開啟php.ini，編輯

session.use_trans_sid = 0

代碼中

 

int_set("session.use_trans_sid", 0);

session_start();

……

4）只從cookie檢查session id

session.use_cookies = 1 表示使用cookies存放session id

session.use_only_cookies = 1 表示只使用cookies存放session id，這可以避免session固定攻擊

代碼中

int_set("session.use_cookies", 1);

int_set("session.use_only_cookies", 1); p>

5）使用URL傳遞隱藏參數

 

session_start();

$seid = md5(uniqid(rand()), TRUE));

$_SESSION["seid"] = $seid;

攻擊者雖然能擷取session資料，但是無法得知$seid的值，只要檢查seid的值，就可以確認當前頁面是否是web程式自己調用的。