PHP安全编程之会话数据注入

冷不防 2022-07-19 11:50 156阅读 0赞

一个与会话暴露类似的问题是会话注入。此类攻击是基于你的WEB服务器除了对会话存储目录有读取权限外，还有写入权限。因此，存在着编写一段允许其他用户添加，编辑或删除会话的脚本的可能。下例显示了一个允许用户方便地编辑已存在的会话数据的HTML表单：  
  
<?php    
    
session\_start();    
    
?>    
    
<form action="inject.php" method="POST">    
    
<?php    
    
$path = ini\_get('session.save\_path');    
$handle = dir($path);    
    
while ($filename = $handle->read())    
\{    
  if (substr($filename, 0, 5) == 'sess\_')    
  \{    
    $sess\_data = file\_get\_contents("$path/$filename");    
    
    if (!empty($sess\_data))    
    \{    
      session\_decode($sess\_data);    
      $sess\_data = $\_SESSION;    
      $\_SESSION = array();    
    
      $sess\_name = substr($filename, 5);    
      $sess\_name = htmlentities($sess\_name, ENT\_QUOTES, 'UTF-8');    
      echo "<h1>Session \[$sess\_name\]</h1>";    
    
      foreach ($sess\_data as $name => $value)    
      \{    
        $name = htmlentities($name, ENT\_QUOTES, 'UTF-8');    
        $value = htmlentities($value, ENT\_QUOTES, 'UTF-8');    
        echo "<p>    
              $name:    
              <input type=\\"text\\"    
              name=\\"\{$sess\_name\}\[\{$name\}\]\\"    
              value=\\"$value\\" />    
              </p>";    
      \}    
    
      echo '<br />';    
    \}    
  \}    
\}    
    
$handle->close();    
    
?>    
    
<input type="submit" />    
</form>    
  
  
脚本inject.php执行由表单所指定的修改：  
  
<?php    
    
session\_start();    
    
$path = ini\_get('session.save\_path');    
    
foreach ($\_POST as $sess\_name => $sess\_data)    
\{    
  $\_SESSION = $sess\_data;    
  $sess\_data = session\_encode;    
    
  file\_put\_contents("$path/$sess\_name", $sess\_data);    
\}    
    
$\_SESSION = array();    
    
?>    
  
此类攻击非常危险。攻击者不仅可以编辑你的用户的数据，还可以编辑他自己的会话数据。它比会话劫持更为强大，因为攻击者能选择所有的会话数据进行修改，从而使绕过访问限制和其他安全手段成为可能。  
  
针对这个问题的最好解决方案是将会话数据保存在数据库中。参见专题前面的内容。