1、httponly
session一定要用httponly的否則可能被xxs攻擊,利用js獲取cookie的session_id。
要用框架的ci_session,更長的位數,httponly,這些默認都配好了。
不要用原生的phpsession,而要用ci_session。ci_session位數更長。
如果要用原生的session,應該這樣設置(php.ini):
session.sid_length //sid的長度,這里要加長,默認的太短了
session.cookie_httponly = 1原生的session就會變成httponly了。
2、phpinfo
一定要關閉phpinfo頁面,dump的請求信息可能會被攻擊者利用。比如cookie信息。
3、強制全站https
通過cdn跳轉,本地開發環境也要配https。如果有的環節不能使用https,比如消息推送,那么可以新建一個站點。
4、Strict mode
session.use_strict_mode = 1
只使用服務端自己生成的session id,不使用用戶客戶端生成的session id。
5、CSRF跨站請求偽造
A的cookie里有站點example.com的session id,并且未過期,B通過放一個圖片在論壇上,引誘A去點擊這個圖片,這個圖片會發起一個請求,請求偽裝成example.com,A的瀏覽器信以為真,將example.com的cookie附加到了這個請求上面,這個請求信息被B的代碼截獲并且通過異步請求發送給了B,B通過這個cookie登錄了A在example.com的賬戶。
CI有防CSRF機制,即他會在表單里面自動的插入一個隱藏的CSRF字段。需要進行如下設置:
application/config/config.php:
$config['csrf_protection'] = TRUE;
注意,這個開了以后,所有的向外站進行的請求都被阻止了。如果我們網站有向其他網站獲取數據的行為,比如說調用api,那就不可以啟用這個開關。
6、xss攻擊
CI會對post數據進行xss過濾,只要這樣調用:
$this->input->post('a',true);
只要加一個參數true,就可以對post的數據進行xss過濾。
7、重放
你把用戶名密碼加密了,傳到服務器進行登錄驗證,攻擊者并不需要解密你這些用戶名密碼,他只要把截獲的這些數據包,重新再操作一次,就可以實現登錄,這就是重放。
5、6的防御措施:每個表單包含一個隱藏的只能用一次的隨機碼token。
只用一次的token實現:redis 到期失效 使用后直接刪掉
8、總結:用戶安全登錄流程
<1>session基本策略:
(1)session僅作會話session,關閉瀏覽器即失效;
(2)session的有效期設置得越短越安全,比如說60秒;
(3)相應的需要修改session的刷新時間,比如說30秒;
(4)設置用redis存儲session。
配置如下:
在php.ini:
session.gc_maxlifetime = 60
這個是session的有效期,默認是1440秒,即24分鐘,改為比如說60秒。當60秒后,客戶端跟服務端這個sid對得上的話,也是無效的,應該在60秒之前刷新一次頁面更新sid,怎么更新下面有說;
在application/config/config.php:
$config['sess_driver'] = 'redis';//設為用redis存儲session $config['sess_cookie_name'] = 'ci_session'; $config['sess_expiration'] = 0;//設為會話session,關閉瀏覽器,客戶端cookie即失效 $config['sess_save_path'] = 'tcp://127.0.0.1:端口號';//redis地址 $config['sess_match_ip'] = FALSE;//要不要驗證ip是否一致 $config['sess_time_to_update'] = 30;//超30秒即刷新sid $config['sess_regenerate_destroy'] = TRUE;//重新生成sid的時候刪除舊sid
<2>session id的刷新及session的過期時間區分:
注意:這些設置跟安全關系非常大,應該注意區分及使用。
上面說的session.gc_maxlifetime是什么意思?即一個session從產生,到過期不能用的時間。其實如果使用redis就清楚了,這個值就是使用redis保存sid的時候,設定的一個存續時間,這就很清楚了,當一個sid產生的時候就會把這個時間寫進去,那么到了這個時間,這個key-value就會被刪掉。