大爆冷门！如何突破SESSION的安全机制

powerpolly

看到http://bbs.chinaunix.net/viewthread.php?tid=948821这篇讨论SESSION的问题，我突然想到一个可能关于SESSION的重大安全问题。写的比较仓促，如有不妥之处欢迎拍砖。下面我给出一个思路，看是否能构成安全威胁。

        背景描述：
        SESSION是S端的一个认证机制，通过在临时目录中建立一个类似sess_938f71d89254db05d595185980f04902的文件，C端用户登录认证时，就建立一个随机字符串作为文件名的文件以提供认证功能。当有多个用户访问时，PHP如何知道谁是谁呢？通过把SESSION_ID写入cookie来标识。C端每次请求都附上这个COOKIE从而标识自己的身份。
        问题提出：
        设想这样一个场合，比如某公司财务管理系统，是采用上述SESSION机制来认证。但这台电脑可能有别的同事需要使用，比如具有较高权限的某某刚刚进入系统，进行一些操作再正常退出。后面的人是否能不需要帐号就可以进入？我设想一个思路：
        因为S端的session文件并不会马上消失，还会保留一段时间，如果在这段时间内进行以下操作，结果将会怎样？
        他退出后，COOKIE应该还在，打开它，写个小程序连接认证页，附上此cookie，S端就根据这个sessionID认为你是合法用户。你就可以不用帐号进入系统了，不过每次请求都必须用程序连接，而不是在浏览器里面点。但这已经给系统造成严重的安全威胁！！！

dz902

...正常退出...

请参阅手册 session_destroy 函数，又：

怎么没什么人发表意见之前先认真看手册呢。

HonestQiao

session.cookie_lifetime integer
session.cookie_lifetime 以秒数指定了发送到浏览器的 cookie 的生命周期。值为 0 表示“直到关闭浏览器”。默认为 0。

实际上只要只要你愿意，你完全可以挟持会话。

小胡他爹

你电脑给人家用还说这些话。

ashchen

“公司财务管理系统，是采用上述SESSION机制来认证。但这台电脑可能有别的同事需要使用”

这也算冷门啊？？本来web就不是为安全的电子系统设计的，设计初衷是信息的共享

benjiam

你在网关也可以劫持所有的session 会话。

bs

用头像漏洞似乎也可以

achun.shx

就算是不删除session和cookie,
你的问题也不算是php漏洞,
很简单,$_SESSION里面的内容是自己的代码控制的.
有没有登录,不只是用SESSION有没有,还可以记录到$_SESSION里面.
总之就算有漏洞,那也不是PHP的漏洞,是代码写的有问题.代码漏洞.

ashchen

php不知道你电脑换了别人使用

我们开发者当成常识的知识也许那些使用者根本不知道，所以这个可以写在软件安全文档手册里
如果不声明：本系统电脑必须专人专用，离开电脑及时退出登录
那么也算是一个漏洞吧

绿茵汗将

这个属于http协议的问题吧，jsp、.net哪个不是通过sessionid来识别的？

再说如2楼，正常退出就用session_destroy了，你再把sid传递过来又如何。你这个sessionid相关联的session都被unset了。。。。