내 사이트는 공격자가 사용자 계정에 액세스하려고 시도하는 무차별 대입 공격을받습니다. 봇에는 사용자 에이전트가 없습니다. 10 분 이내에 계정 당 3 회의 시도를 초과하면 로그인을 차단하는 시스템이 있습니다.세션이 브라우저에만 저장되어 있습니까?
또한 사용자 에이전트를 확인하고 종료하지 않은 경우 종료합니다.
제 질문은 : 세션이 브라우저에만 저장되어 있습니까? 제가 생각하기에 그들은 명령 행을 통해 실행되는 스크립트를 사용하고 있습니다.
나뿐만 아니라이 구현했습니다 : 나는이 공격을 방지하기 위해 할 수있는 뭔가가
if(!isset($_COOKIE[ini_get('session.name')])) {
header("HTTP/1.0 404 Not Found");
exit;
}
있습니까?
세션은 (일반적으로) 쿠키가있는 사용자와 연결된 서버 측 저장소입니다. – nickb
Google for : PHP 세션 하이재킹 – Yang