웹 서버에서 세션 관리 문제를 해결하기 위해 시도되었습니다. 코드는 c로 작성되어 꽤 오래된 코드입니다. 세션은 새 세션을위한 폴더를 만드는 것으로 제한되며 작은 PHP 스크립트가 맨 위에 실행되며 SID가 로그인 한 사용자에게 유효한지 확인합니다. 방법은 프로그램이 SID를 작동하지만Propaearatory 웹 서버의 세션 관리
는 URL에 저장됩니다! 따라서 모든 복사 붙여 넣기는 세션 하이재킹을 초래합니다. 이제 SID가 URL에 저장된다는 사실을 변경할 수 없다는 말을 들었습니다. 일부 고객은 브라우저에서 보안 설정이 높기 때문에 쿠키를 사용할 수 없으며 변경할 수 없습니다. 내가 생각할 수있는 유일한 점은 숨겨진 필드에 SID를 저장하는 URL 재 작성이지만 여전히 내 관리자의 정보를 기다리는 중입니다. HTML 파일이 미리 작성되어 있으므로 생각하지 않습니다. 그것들에 숨겨진 필드를 추가하는 것이 가능합니다. 아마도 이것은 서버 프로그램에 의해 즉시 수행 될 수 있습니다. 확실하지 않습니다. 그리고 마지막으로 토큰을 사용하거나 올바른 SID가 있어도 다른 IP 주소 나 User-Agent 문자열이 발견되면 새 세션을 시작하는 것이 좋습니다.
난 정말 내가 대학에서 배치 해 주로 C 프로그래밍 오전하지만 난 시도하고 뭔가를 달성하고 싶은 약간의 사이드 프로젝트로이 작업이 부여 된 웹 보안에 대해 잘 모른다.
어떤 조언이 있습니까? 은 내가 애매했고 난 당신이 비록 사전에 도움을 감사를 코드 :(유감을 게시 할 수 있지 않다 알고있다.
그러나 무엇을 동일한 IP 및 가능하게 브라우저를 사용하여 인터넷에 연결하는 LAN상의 다중 사용자에 대한 정보 –
신뢰할 수있는 방법이 없으므로 실제로 할 수있는 일이 없습니다. 쿠키는 편리 할 것입니다. 그 안에 하지만 그들은 LAN에서 스니핑되고 도난 당할 수 있기 때문에 진정한 공격자를 느리게 만듭니다. – Narf
OK 그다지 잘 보이지 않아. 이 모든 예방 조치는 침입자의 속도를 늦출 뿐이라는 것을 이해합니다. 우리가 가진 진짜 문제는 LAN을 통해 링크를 복사하여 붙여 넣는 것입니다. 그리고 우리는 동일한 IP를 가지고 있기 때문에 세션이 도용 당합니다. 해커를 막는 것보다 직원 간의 데이터 기밀성에 더 많은 관련이 있습니다. –