好吧,我知道通过猜测成功地欺骗PHPSESSID甚至对于一个非常繁忙的站点来说都不是攻击的载体。
但是我想知道,PHP是否有任何措施可以通过识别不存在PHPSESSID的请求来阻止暴力猜测。
是否没有任何PHP函数可用于识别由于不良的PHPSESSID而被拒绝的会话启动?
还是这些攻击不太可能导致不需要采取此类措施?
答案 0 :(得分:0)
我认为,是的,“这些攻击不太可能发生,因此无需采取此类措施。”实际上,它们可能根本不是“攻击”。
如果我决定在响应网站之前先吃晚餐,特别是如果我在晚餐时喝了一杯美酒,那么就有 very(!)的好机会了...糟糕...我的会话将过期。这不是“攻击”。
会话ID“ nonce”从根本上讲是一个 random 值,在一个如此巨大的数字空间内,以至于“强力”将永远无法起作用。因此,唯一可信赖的“攻击”是,一个当前的ID将以某种方式被偷,这是一个邪恶的人,他们肯定会从不同的 IP发动其合法的攻击-地址。而且,据我所记得,现有的PHP会话处理逻辑已经考虑了这一点。
(“花生酱画廊,请在这里鸣叫” –是吗?)
当然,我还假定您对作为“您的”网页的一部分传输到用户浏览器的所有内容都处于“完全控制”状态。