Session对于Web应用无疑是最重要的，也是最复杂的。对于web应用程序来说，加强安全性的第一条原则就是 – 不要信任来自客户端的数据，一定要进行数据验证以及过滤，才能在程序中使用，进而保存到数据层。 然而，为了维持来自同一个用户的不同请求之间的状态， 客户端必须要给服务器端发送一个唯一的身份标识符(Session ID)。 很显然，这和前面提到的安全原则是矛盾的，但是没有办法，http协议是无状态的，为了维持状态，我们别无选择。 可以看出，web应用程序中最脆弱的环节就是session，因为服务器端是通过来自客户端的一个身份标识来认证用户的， 所以session是web应用程序中最需要加强安全性的环节。　

　　基于session的攻击有很多种方式。大部分的手段都是首先通过捕获合法用户的session, 然后冒充该用户来访问系统。也就是说，攻击者至少必须要获取到一个有效的session标识符，用于接下来的身份验证。　

　　攻击者至少可以通过以下三种方式来获取一个有效的session标识符:

　　1、预测

　　2、捕获（劫持）

　　3、固定

　　预测这种方式，也就是攻击者需要猜测出系统中使用的有效的session标识符（PHP中格式为PHPSESSID=1234），有点类似暴力破解。 php内部session的实现机制虽然不是很安全，但是关于生成session id的关节还是比较安全的，这个随机的session id往往是极其复杂的并且难于被预测出来，所以说，这种攻击方式基本上是不太可能成功的。 

　　会话劫持（Session hijacking），这是一种通过获取用户Session ID后，使用该Session ID登录目标账号的攻击方法，此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户，因此需要保证会话标识不被泄漏。

　　1、 目标用户需要先登录站点；

　　2、 登录成功后，该用户会得到站点提供的一个会话标识SessionID；

　　3、 攻击者通过某种攻击手段捕获Session ID；

      4、 攻击者通过捕获到的Session ID访问站点即可获得目标用户合法会话。

攻击者获取SessionID的方式有多种：

       1、 暴力破解：尝试各种Session ID，直到破解为止；

       2、 预测：如果Session ID使用非随机的方式产生，那么就有可能计算出来；

       3、 窃取：使用网络嗅探，XSS攻击等方法获得。

 　　对于PHP来说，其内部Session的实现机制虽然不是很安全，但是关于生成Session ID的环节还是比较安全的，这个随机的Session ID往往是极其复杂的并且难于被预测出来，所以，对于第一、第二种攻击方式基本上是不太可能成功的。

　　对于第三种方式大多使用网络数据通讯层进行攻击获取，可以使用SSL进行防御。

　　在应用层上也可以做出相应的防御措施：

　　目前有三种广泛使用的在Web环境中维护会话（传递Session ID）的方法：URL参数，隐藏域和Cookie。其中每一种都各有利弊，Cookie已经被证明是三种方法中最方便最安全的。从安全的观点，如果不是全部也是绝大多数针对基于Cookie的会话管理机制的攻击对于URL或是隐藏域机制同样适用，但是反过来却不一定，这就让Cookie成为从安全考虑的最佳选择。

　　1、 更改Session名称。PHP中Session的默认名称是PHPSESSID，此变量会保存在Cookie中，如果攻击者不分析站点，就不能猜到Session名称，阻挡部分攻击。

      2、 关闭透明化Session ID。透明化Session ID指当浏览器中的Http请求没有使用Cookie来存放Session ID时，Session ID则使用URL来传递。

      3、 设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

      4、 关闭所有phpinfo类dump request信息的页面。

      5、验证HTTP头部信息

　　　  在http访问头文件：[Accept-Charset、Accept-Encoding、Accept-Language、User-Agent]，浏览器一般发出的头部不会改

　　使用User-Agent检测请求的一致性。

　　确保User-Agent头部信息一致的确是有效的，如果会话标识通过cookie传递，攻击者能取得会话标识，他同时也能取得其它HTTP头部。由于cookie暴露与浏览器漏洞或跨站脚本漏洞相关，受害者需要访问攻击者的网站并暴露所有头部信息。则攻击者只需重建头部即可进行攻击了。

　　因此前提需要做好XSS防御！

　　注意：

在某些版本的IE浏览器中，用户正常访问一个网页和刷新一个网页时发出的Accept头部信息不同，因此Accept头部不能用来判断一致性。

　　有专家警告不要依赖于检查User-Agent的一致性。这是因为服务器群集中的HTTP代理服务器会对User-Agent进行编辑，而本群集中的多个代理服务器在编辑该值时可能会不一致。　　

　　6、 加入Token校验。同样是用于检测请求的一致性，给攻击者制造一些麻烦，使攻击者即使获取了Session ID，也无法进行破坏，能够减少对系统造成的损失。但Token需要存放在客户端，如果攻击者有办法获取到Session ID，那么也同样可以获取到Token。

　　会话固定（Session fixation）是一种诱骗受害者使用攻击者指定的会话标识（SessionID）的攻击手段。这是攻击者获取合法会话标识的最简单的方法。（让合法用户使用黑客预先设置的sessionID进行登录，从而是Web不再进行生成新的sessionID，从而导致黑客设置的sessionId变成了合法桥梁。）

　　会话固定也可以看成是会话劫持的一种类型，原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话，不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话，以此来获得用户的敏感信息。

       1、 攻击者通过某种手段重置目标用户的SessionID，然后监听用户会话状态；

       2、 目标用户携带攻击者设定的Session ID登录站点；

       3、 攻击者通过Session ID获得合法会话

Web接收sessionID机制：

　　早期浏览器存贮的sessionID容易暴露、使用URL来传送sessionID

　　首先检查携带cookie是否含有sessionID；若没有则再检查get、post数据中是否含有，若有则使用此数据；没有才会使系统生成一个sessionID发给客户端。（经测试，get与post都不能设置sessionID【也许是被浏览器限制或者被代码本身禁止了吧，不过没关系，咱还有其他方法进行固定sessionID！】）

重置sessionID方式：

测试例子：

html页面（表单），用于跨站脚本攻击

接收表单 ，test2.php

 测试：

　　1、表单中插入数据，并提交。然后不断刷新test2.php

　　2、接着分别查看sessionID以及count数值

　　3、在其他浏览器中，执行相同的步骤1（保证sessionID与之前相同）和2，可以看到count初始值不是0，而是在之前的基础上增加的。

 结论：盗取sessionID成功！

 测试：

　　只要让此行代码执行即可，（）即可。我们将它放入表单中然后提交给PHP；接着不断刷新，再换浏览器执行相同步骤。和上面的测试一样！接着查看结果

测试：(伪造浏览器执行http请求)

　　1、攻击者控制的服务器（www.test88.com）

　　2、www.test88.com/test99.php

　　客户访问这个页面，无形之中就简介访问第三方网站，并绑定一个sessionID；攻击者就可以掌握这个sessionID进行相应的攻击了

　　1、用户访问这个页面，并不断刷新，然后查看页面中的count值

　　2、接着，模拟黑客进行攻击。

　　在表单中插入数据（ document.cookie='PHPSESSID=99999' ），然后提交，并不断刷新test2.php，并观察count值。【换不换浏览器都可以，本质上讲黑客构造的http访问代码就相当于一个独立的浏览器】

　　结果显示：count值是接着上面的4不断增加！此时证明攻击成功！

1、每当用户登陆的时候就进行重置sessionID

2、sessionID闲置过久时，进行重置sessionID

3、 大部分防止会话劫持的方法对会话固定攻击同样有效。如设置HttpOnly，关闭透明化Session ID，User-Agent验证，Token校验等。

【多个方法结合使用】

1. 《Session攻击手段(会话劫持/固定)及其安全防御措施》

（以上是自己的一些见解，若有不足或者错误的地方请各位指出）

 作者：那一叶随风   http://www.cnblogs.com/phpstudy2015-6/

 原文地址：http://www.cnblogs.com/phpstudy2015-6/p/6776919.html

 声明：本博客文章为原创，只代表本人在工作学习中某一时间内总结的观点或结论。转载时请在文章页面明显位置给出原文链接