세션 고정 문제를 방지하려면 IP 주소를 세션 ID와 어떻게 바인딩 할 수 있습니까? 세션 ID를 IP 주소의 세션 ID와 바인딩 할 수 있습니까 ??IP 주소와 세션 ID의 바인딩
답변
하지만 그렇게 좋지는 않을 수 있습니다. 클라이언트가 프록시 팜 뒤에있는 경우 요청시마다 외부 IP 주소가 변경 될 수 있습니다. 예를 들면, AOL.
나는 이것이 좋은 생각이라고 생각하지 않습니다. 동일한 사용자의 후속 요청은 동일한 IP 주소에서 올 필요가 없을 수 있습니다. 그 이유는 요청이 다른 프록시에서 왔을 수 있기 때문입니다. IIRC는 모든 AOL 사용자의 경우였으며 다른 공급 업체 또는 일부 회사 네트워크의 경우 일 수도 있습니다.
세션을 하이킹하지 않으려면 page tokens으로 세션을 보호하는 것이 좋습니다.
http://en.wikipedia.org/wiki/Session_fixation
if($_SERVER['REMOTE_ADDR'] != $_SESSION['PREV_REMOTEADDR']) {
session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['PREV_REMOTEADDR'] = $_SERVER['REMOTE_ADDR'];
이것은 제대로 작동하지 않을 것입니다. 인증 된 세션이있는 경우 피해자의 세션을 실질적으로 파괴하고 "공격자"가 IP 주소 차이를 기반으로 새 세션을 만들도록합니다. IP 주소 검색은 클라이언트가 주소를 항상 동일하게 유지하기 위해 IP와 협상하지 않는 한 절대로 작동하지 않습니다. 또한 XSS 단조 공격을 지원하지 않습니다. – ha9u63ar
는 내가 전에 그것에 대해 몇 가지 기사를 읽었습니다. 추가 세션 메타 데이터로 사용자 IP 주소를 확인할 수도 있습니다. 일반적인 세션 ID로 사용하려면 모든 사용자가 동일한 IP 주소를 사용하는 특정 프록시 게이트웨이 뒤에있는 사용자를 다루는 데 문제가있을 수 있습니다. 이지만 세션 도용 (쿠키 하이 잭킹과 같은 기술 사용)을 방지하는 데 사용할 수 있습니다. 쿠키 도용자가 희생자의 IP 주소를 모방 할 수있는 것으로 간주되어야합니다. 따라서 사용자 세션과 IP 주소를 확인하는 것이 보안을 강화하는 좋은 방법이 될 수 있지만 방탄 솔루션이 아닙니다.
- 1. IP 주소와 포트를 기밀로 간주해야합니까?
- 2. JBoss 바인딩 IP 주소
- 3. ASP.NET 3.5 세션 ID의 크기는 얼마입니까?
- 4. 바인드 주소와 MySQL 서버
- 5. 주어진 PowerShell에서 IP 주소와 서브넷에 지정된 브로드 캐스트 주소를 계산하십시오.
- 6. 목적지의 IP 주소와 포트 번호를 알면 패킷을 보낼 수 있습니까?
- 7. Perl을 사용하여 IP 주소와 포트 번호를 추출하고 비교하는 방법
- 8. Postfix 이메일 서버 - 호스트 이름이 IP 주소와 일치하지 않습니다.
- 9. 동적으로 생성되어야하는 텍스트 상자에 IP 주소와 포트 번호를 표시하는 방법
- 10. android 앱은 IP 주소와 포트 번호를 통해 로봇에 연결합니다.
- 11. 세션 필드를 System.Data.Linq.Binary에 바인딩
- 12. IIS7 : 별도의 IP 주소와 별도의 포트를 사용하는 동일한 IP 주소 비교
- 13. sqlite ip address storage
- 14. Tomcat 세션 ID에서 IP 주소를 검색 하시겠습니까?
- 15. 활성 텔넷 세션 및 해당 IP 식별
- 16. ASP.net 클라이언트와의 세션 연결/IP 기반의 요청
- 17. 같은 ID의
- 18. 이메일 주소와 이름을 추출하십시오.
- 19. PHP REMOTE_ADDR 및 보안 세션
- 20. 세션/세션 ID가 둘 이상의 사용자에게 할당되었습니다.
- 21. 최대 절전 모드 : ThreadLocalSessionContext : 바인딩 호출에 바인딩 이미 세션()
- 22. Tomcat은 세션 무결성을 어떻게 유지합니까?
- 23. 단일 네트워크 쿼리없이 로컬 Windows 상자의 모든 IP 주소와 호스트 이름을 찾는 방법은 무엇입니까?
- 24. 마스터 컨테이너 컨트롤 ID의
- 25. EventQueue의 일관성 ID의
- 26. Paypal IPN Transaction ID의
- 27. id의 목록에서 관계를 구축
- 28. jQuery를 - 타겟팅 특정 ID의
- 29. 동일한 ID의 데이터 병합
- 30. Mysql, 재설정 ID의
이것은 아직 문제가되지 않지만 IPv6이 사용 되 자마자 클라이언트는 AOL에서 왔는지 여부에 관계없이 IP 주소를 자주 변경합니다. – innaM
@Manni 케어에 대해 자세히 설명해 주시겠습니까? – vartec
"IPv6 개인 정보 보호 확장 기능"을 언급했습니다. http://tools.ietf.org/html/rfc3041 – innaM