현재 저는 CI와 협력 중입니다. 나는 CI 세션 라이브러리를 사용하여 쿠키의 모든 세션 값을 저장합니다. Mozilla에서 웹 개발자와 같은 플러그인을 사용하여이 (세션 변수)를 해킹 할 수있는 가능성이 있습니까?codeigniter 세션을 해킹 할 수 있습니까?
1
A
답변
5
, 세션 4 infos에 의해 만들어집니다 :
- 사용자의 고유 한 세션 ID (기본적으로 (이 휴대 성 MD5로 해쉬 매우 강한 엔트로피와 통계적으로 임의의 문자열 이며, 가 재생) 5 분마다)
- 사용자의 IP 주소
- 사용자의 사용자 에이전트 데이터 (브라우저 데이터 문자열의 첫 번째 120 자)
- "마지막 활동"시간 역 mp. 물론
플러스 자신의 세션 datas. 이 4 개의 데이터 중 3 개는 보안 될 필요가 없습니다. MD5를 사용하더라도 코드가 실제로 있는지 (실제로 보안 전문가가 아닙니다) . 후자 정보의 보안 수준은 저장하는 정보의 종류와 저장하기 전에 데이터를 얼마나 잘 취급하는지에 따라 다릅니다.
데이터베이스를 사용하여 세션을 저장하도록 결정할 수도 있습니다.이 세션은 SQL 인젝션을 허용하지 않으면 더 안전한 옵션이됩니다.
참고 또한 : 당신은 암호화 옵션을 사용하도록 설정 한 경우
, 직렬화 된 배열을 읽거나 의해 변경되기에 매우 안전하고 불 침투성 데이터를 만드는 쿠키에 저장되기 전에 암호화 합니다 어떤 사람. 추가 정보 암호화는 here이지만 세션 클래스는 데이터 의 초기화 및 암호화를 자동으로 처리합니다. 그래서 잘
, 그들은 매우 안전합니다; 충분히 신뢰하지 못한다면 원하는만큼 데이터를 해시하거나 암호화하거나 문제없이 PHP 원시 세션을 계속 사용할 수 있습니다.
3
모두 쿠키에 실제로 저장되는 정보의 종류에 따라 다릅니다. 값을 가진 $_COOKIE['is_admin']
이있는 경우 .. ..
실제로 사용자의 컴퓨터에 실제로 저장 한 정보를 검사해야합니다. 보통 세션의 경우에만 PHPSESSID
만 저장되며 해시를 포함하고 나머지 값은 서버에 남아 있습니다. 기본적으로
관련 문제
- 1. 세션을 위조 할 수 있습니까?
- 2. 아이폰 앱을 어떻게 해킹 할 수 있습니까?
- 3. 웹 양식을 해킹 할 수 있습니까?
- 4. 세션을 지우는 CodeIgniter 함수
- 5. PHP 세션을 수동으로 편집 할 수 있습니까?
- 6. CodeIgniter의 session_id에서 세션을 다시로드 할 수 있습니까?
- 7. Coldfusion에서 선택적으로 세션을 활성화 할 수 있습니까?
- 8. ID로 PHP 세션을 복원 할 수 있습니까?
- 9. 다른 사용자의 세션을 종료 할 수 있습니까?
- 10. JavaScript + 쿠키로 세션을 스푸핑 할 수 있습니까?
- 11. 어떻게 장고 설문 조사에 조건부 행동을 해킹 할 수 있습니까?
- 12. sys.settrace를 사용하면 어떤 멋진 해킹 작업을 수행 할 수 있습니까?
- 13. jquery에서 누군가 내 아약스 요청을 해킹 할 수 있습니까?
- 14. jQuery AJAX 추가/수정/삭제 작업을 해킹 할 수 있습니까?
- 15. 누군가가 SQL Server 2005 암호화 스택을 해킹 할 수 있습니까?
- 16. Android 앱이 해킹 당할 수 있습니까?
- 17. 내 .ini 파일을 해킹/수정할 수 있습니까?
- 18. 내 양식이 해킹 될 수 있습니까?
- 19. PHP (CodeIgniter) 세션을 통해 객체 전달
- 20. 간단한 웹 양식이 해킹 당할 수 있습니까?
- 21. Java EE에서 세션을 어떻게 관리 할 수 있습니까?
- 22. eclipse CDT에서 실행중인 프로그램에 디버깅 세션을 첨부 할 수 있습니까
- 23. 어떻게 장고 세션을 제대로 테스트 할 수 있습니까?
- 24. ASP.net : 세션 ID에서 수동으로 세션을 초기화 할 수 있습니까?
- 25. 브라우저가 한 서버에서 여러 세션을 유지 관리 할 수 있습니까?
- 26. SndVol에서 빈 오디오 세션을 표시하지 못하게 할 수 있습니까?
- 27. 스프링 보안 - 손실 된 세션을 복원 할 수 있습니까?
- 28. emacs-ess에서 R 세션을 어떻게 전환 할 수 있습니까?
- 29. 서버로드에 따라 주기적으로 세션을 재활용 할 수 있습니까?
- 30. 세션을 공유 할 SharedPreferences
왜 세션 변수 쿠키를 해킹하고 싶습니까? –
해킹하고 싶지 않습니다. 어떤 사람들이 웹 사이트 세션을 해킹하면 아무 것도 할 수 있습니다. 지금은 데이터베이스 세션을 사용하고 있습니다. – balaphp