세션으로 해킹을 당했는데요..
본문
내용은 이렇습니다.
해커가 세션을 해킹해서 로그인을 안하고 다른사람의 로그인한 세션을
가로채서 로그인을 한건데요...
이렇게 설정되어있는데
이걸 어떻게 막아야 할까요...ㅠㅠ
아...
//==============================================================================
// SESSION 설정
//------------------------------------------------------------------------------
@ini_set("session.use_trans_sid", 0); // PHPSESSID를 자동으로 넘기지 않음
@ini_set("url_rewriter.tags",""); // 링크에 PHPSESSID가 따라다니는것을 무력화함 (해뜰녘님께서 알려주셨습니다.)
session_save_path(G5_SESSION_PATH);
if (isset($SESSION_CACHE_LIMITER))
@session_cache_limiter($SESSION_CACHE_LIMITER);
else
@session_cache_limiter("no-cache, must-revalidate");
ini_set("session.cache_expire", 180); // 세션 캐쉬 보관시간 (분)
ini_set("session.gc_maxlifetime", 10800); // session data의 garbage collection 존재 기간을 지정 (초)
ini_set("session.gc_probability", 1); // session.gc_probability는 session.gc_divisor와 연계하여 gc(쓰레기 수거) 루틴의 시작 확률을 관리합니다. 기본값은 1입니다. 자세한 내용은 session.gc_divisor를 참고하십시오.
ini_set("session.gc_divisor", 100); // session.gc_divisor는 session.gc_probability와 결합하여 각 세션 초기화 시에 gc(쓰레기 수거) 프로세스를 시작할 확률을 정의합니다. 확률은 gc_probability/gc_divisor를 사용하여 계산합니다. 즉, 1/100은 각 요청시에 GC 프로세스를 시작할 확률이 1%입니다. session.gc_divisor의 기본값은 100입니다.
session_set_cookie_params(0, '/');
ini_set("session.cookie_domain", G5_COOKIE_DOMAIN);
@session_start();
//==============================================================================
답변 2
데이터의 함호화가 필요할것 같은데요.. 보안서버 ssl 등을 사용해보세요.
클라우드라고 보안서비스가 있는데 이걸 잠시 내렸는데 이시기에 들어온고고든요
그래서 다시 클라우드 씌우긴 했는데
해커말로는 그건 d도스공격만 막아주는거라고 그러더라구요..
해커가 좀..착한? 협조적이여서 어느정도 믿음이 가는상황입니다...
제가 지금 해킹에대해서 공부를 좀 하고있는데
정확히 어떤경로로 이렇게 해킹을 하는지를 몰라서 감이 잘 안잡히네요
세션이 해킹되었다는 근거가 있나요?
sql 인젝션등으로 또는 무작위 입력방식으로 패스워드는 노출될수도 있습니다만.
해커가 연락이 와서 해커랑 연락을 했었거든요..
세션해킹해서 사용자 세션 가로채서 로그인따로 안하고 글썼더라구요
.....ㅠㅠ
세션 보안이랑 sql 인젝션 보안을 하라고 하더라구요..
sql인젝션 보안은 하고있는데
세션보안은 어떻게 해야될지 감이 안잡히네요..
