Я знаю, что это дублированный вопрос Codeigniter/PHP sessions security question, но извините, что все меры, рекомендованные в моем случае, не удались в моем случае, и именно по этой причине я повторяю этот вопрос и этот вопрос задают в 2011 году и сейчас его ответы будут устаревшими. Поэтому, пожалуйста, не дублируйте его.Как предотвратить захват сеанса в CodeIgniter 3
В моем сценарии я включил $config['sess_driver'] = 'database'; и $config['sess_match_ip'] = TRUE; в файле конфигурации.
Я также помещаю токен csrf и фильтрацию XSS в свою форму аутентификации и всегда использую активные записи, чтобы предотвратить любую инъекцию SQL. Для дополнительной безопасности я также реализовал двухфакторную аутентификацию, Google ReCaptcha и ip-блокировку на 10-й попытке. Тем не менее, все вышеуказанные меры могут только предотвратить атаку грубой силы в моем случае, а не захват сеанса.
Если злоумышленник получил значение ci_session и мой ip, он может легко войти на мой сайт без каких-либо учетных данных.
Я знаю, что использование HTTPS может помочь, поскольку я могу включить $config['cookie_secure']=TRUE;, но я не уверен на 100%, поскольку я могу легко войти в свою учетную запись Twitter, чтобы сделать сеанс захвата и твиттера использовать HTTPS.
Я также попробовал свое приложение laravel, и его система проверки подлинности по умолчанию по умолчанию может быть захвачена сессией.
Таким образом, основная проблема - это все мои действия по проверке подлинности в сеансе, и я не знаю другого метода для использования аутентификации без использования сеанса.
Если у кого-нибудь есть идеи по улучшению безопасности моего веб-приложения, пожалуйста, помогите мне.
Заранее спасибо.
Вы действительно пробовали? «Если злоумышленник получил значение ci_session и мой ip, он может легко войти на мой сайт без каких-либо учетных данных» –
@blacmoon да сэр. Но в моей ситуации я вручную копирую значение cookie ci_session в своем ноутбуке и вставляю его в файл cookie ci_session на своем рабочем столе, чтобы обойти логин. Обе системы public ip одинаковы, поэтому блокировка ip не работает. Поэтому, если какое-то вредоносное ПО получает ci_session cookie и IP-адрес системы, мое приложение может быть повреждено. –
Попробуйте вариант базы данных при сохранении сеанса. может помочь. –