Ben bir dizi araçları güvenli giriş / portal türü üzerinde çalışıyoruz, genel kod SQL enjeksiyonu arınmış, XSS vs, ben oturum kaçırma durdurmak için yerinde mulitple şeyler var.
- HER sayfası için oturumun kimliğini yeniden
- Girişte IP ile kullanıcının IP karşılaştır
- girişte maddesi ile kullanıcının User_Agent karşılaştırmak
- Kısa oturum süresi çıkışları var
vb
Ben kaçırma durdurmak için aklınıza gelebilecek tüm yaptık ancak hala mümkün olabilecek bir durum bulunur ve kimse herhangi bir fikirleri olup olmadığını bilmek istiyorum.
Eğer SNAT / DNAT yapan bir güvenlik duvarı arkasında 2 kullanıcıya sahip bir durum düşünün, bu yüzden ayrı aynı IP gelmek hem de. Her ikisi de, aynı yer tarafından sağlanan aynı makinelerdir. Bir siteye bağlanır ve günlükleri, diğer kopyalar PHPSESSID çerez ve sadece oturumu çalabilir.
This might sound like an extreme example, however this is very similar to my place of work, everyone is behind a firewall so looks to be the same IP, and all machines are managed/supplied by the IT team, so all have the same version of browser, OS vb vb.
Ben korsanlığıydı durdurmak ya da daha fazla, ben (her sayfa için değişti) Her URL gömülür bir belirteç düşünüyordum bunu en aza indirmek için başka bir yol (sunucu tarafı) düşünmeye çalışıyorum, ve kontrol ediyorum.
Eğer kodu veya buyrun örnekler sunmak istiyorum ben, fikir ve önerileriniz için arıyorum, ama benim belirteç fikir kutu fikir veya yorum dışında daha çok ilgileniyorum.