我目前正在用 php 做一个网站,我们使用 Session 变量来存储每个用户的权限级别。
例如,如果你们中的任何一个人访问该网站,您将自动获得一个值为“member”的会话变量。
我要问的是:攻击者是否有可能进入网站并将会话变量的值修改为“admin”而不是“member”
我不是问如何,只是如果可能的话,如果可能的话,攻击者需要什么样的特殊访问权限(例如:访问代码,......)
我有一个替代解决方案,即将权限值替换为随着时间推移而过期的令牌。
第二种解决方案的实施时间要长得多。
感谢您的帮助!
不可以,除非:
- 攻击者可以访问会话变量的存储(通常是服务器的文件系统,但也可能是数据库)
- 攻击者拦截了一个会话cookie http://www.owasp.org/index.php/Session_hijacking_attack具有更高特权的用户。
- 攻击者成功固定了更高权限用户的会话(请参阅会话固定 http://www.owasp.org/index.php/Session_fixation攻击)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)