Чтобы избежать проблем взлома требуется выполнить ряд мер во время разработки cms сайта. Некоторые профилактические действия нужно проводить в процессе работы сайта.
В прошлых статьях я показал, как выполняются csrf и xss атаки на сайт, а так mysql иньекции и атаки на файловую систему сервера. Сегодня речь пойдет о перехвате и защите сессий взломщиками.
Перехват сессии осуществляется с помощью получения урла с сессией или получения куки с сессией.
Получение данных сессии извне возможно на виртуальном хостинге, если сессия хранится в общей доступной папке.
Для защиты от перехвата нужно использовать:
1. Привязку сессии к ип адресу и подписи браузера
2. Указывать свою индивидуальную папку для сессии.
3. Шифровать содержимое сессии.
Подробнее об этом можно прочитать на сайте seoarticles.ru