使用 Kohana 避免会话劫持

Posted 2023-02-27

【中文标题】使用 Kohana 避免会话劫持

【英文标题】：Avoiding session hijacking with Kohana

【发布时间】：2010-05-11 19:49:22

【问题描述】：

我是否必须做一些特别的事情来避免使用session hijacking 使用Kohana framework？ 我假设会话仅使用 Kohana Session 库进行操作

【参考方案1】：

本机会话最容易被劫持，因为它们无法防止 cookie 窃取。除了 php 提供的默认值之外，本机会话几乎没有应用安全性。为了更好的安全性，您可能应该添加用户代理或 IP 地址检查。

Cookie 会话是加盐的，并且支持加密。您应该更改Cookie::$salt 以增加安全性。

数据库会话也使用加盐 cookie 来存储会话 id，所以同样，您应该更改加盐。

编辑：您说的是 v2，它对会话应用了更高的安全性，因为它扩展了本机会话。这种方法更容易出现奇怪的 PHP 问题，但提供了更高的安全性。检查会话配置文件以添加user_agent 和ip_address 检查。

【参考方案2】：

我会在GitHub 上查看相关文件。

取决于您使用的驱动程序，例如native 或 db，您可能需要更深入地挖掘。

【参考方案3】：

为了提高安全性，我会使用数据库会话并加密 cookie（保存会话 ID）。