我是一名从事Web应用程序设计的学生。我不熟悉Web会话以及与Web会话相关的安全性问题。
在此页面上:Session Replay vs Session Fixation vs Session Hijacking,Stackexchange用户列出了免受会话攻击(例如,会话重播,会话固定,会话劫持)的保护方式。
请问以上网页中列出的要点是否足以免受会话攻击?如果没有,您是否可以列举我需要做的其他事情以防止受到会话攻击?
可能有许多“会话”攻击,并且该链接并未列举所有攻击。
我强烈建议参考OWASP Session Management Cheat Sheet,以更全面地了解会话管理安全性。如果您不熟悉,OWASP是“开放Web应用程序安全性项目”,它是Web应用程序安全性的关键开源资源之一。他们还编制了OWASP Top 10,试图列举最常见的Web应用程序安全性问题。
您的链接未涵盖的某些潜在会话安全属性,请考虑:
This link also has PHP specific guidance,涵盖会话生命周期,会话ID,会话Cookie和会话数据存储。
我也强烈建议使用标准的PHP库进行会话管理,这将使您摆脱许多此类问题。合适的库将取决于您使用的框架。