php session是否存在被破译的可能?

最近被一位做底层开发的大牛问到,我们系统如何保证用户的交易。经过深聊他告诉我 Session是可以被破译的,这个话深深的刺激到了我!因为我们系统用户验证通过后服务器会分配一个 Session ID作为用户已经登录的凭证。因为刚开始学的时候PHP教程也是这样教我们的,如果Session ID被破解这样用户可以畅通无阻这个系统。


于是带着问题请教了2位,技术主管。王兄,曹兄。第一位王兄告诉我的答案是这个你别担心了,Session存在服务器的不像cookie是存在客户端的,要是直接获取到那么就是服务器都被攻陷了。当然这样的情况我们是不会让他发生的,那么破解是否有可能?回答:破译也是非常非常小的概率,那几乎是不可能的事情。于是安慰我说这个问题就别想了,不存在。


带着疑问有问了曹兄,曹兄做PHP已经非常多年了,我和他说这个问题的时候,他也思考好像他那里也有这样的问题。于是他告诉我这个理论是存在这个情况的。具体截图给我分析如下图,用户登录验证后,PHP服务器会返回PHPSESSION 这个ID会存在浏览器中,和与服务器交互会回传。服务器在进行验证。如果用户知道PHPSESSION 并且可以模拟浏览器提交是不是就可以使用用户所有的操作。答案是:“对,完全存在这种可能!”,

如果是真能破解,我们有办法解决这个问题吗?

曹说避免这样的情况你可以用HTTPS加密协议来做这样安全点,然后在做客户端和服务器做双向安全证书(支付宝是这样干)这样就不存在被破译的事情了。


php session是否存在被破译的可能?_第1张图片

          浏览器请求截图



      服务器Session截图


如果被破解了,我们是有办法通过证书解决这个问题的。如果破解那么存在多少可能?

答案我们可以算算:

PHPSESSION=4airjpi4bfr1fpdfkkudfdc706


截图数据可以分析出,PHP应该是数字和字母组合并且是26位字符 这样组合出来就是

(26+10)^26=2.9e+40

一算40位小数的可能。我想PHP能大面积应用一定他也有安全的考虑?所以暴力破解看起来是很难讨到便宜。


服务器本身的防御是否可以抵挡这样攻击,我们也是算一下。目前我还没有做个特别大型的系统,按照极限情况来算,平均1秒内有1000用户同时访问(之前微信博文流量量最大估计也不超过这个数),我想那个时候服务器已经很吃力了,CPU可能已经吃到50%。首先服务器会扛不住哪样的破解,服务器会瘫痪,为了避免这个问题服务器一般都会有防CC攻击、DDoS攻击。下图为之前案例的防火墙设置,WEB请求60秒内允许120次,如果超过会禁用你这个IP。一般的破解防火墙也会过滤掉,讨不到什么便宜!!


php session是否存在被破译的可能?_第2张图片


php session是否存在被破译的可能?_第3张图片


综合分析:

一个程序与黑客之前的攻守是时时存在的,作为正面战场的程序员,需要建筑起自己的城堡,需要搭建出自己的帝国,需要付出非常多的艰辛,

但是黑客只需要找到一个漏洞,就可以打劫我们的粮仓,纵观整个发展,我愿意做建筑城堡的建筑人,不愿意做偷鸡摸狗的勾当,一个人有品德的程序员,

一定是做利人利己的事情。

感谢这位C语言大神给我指点,因为我们处的位置不一样,也给我一个很震撼的问题,让我思考,将来工作和生活中需要认真仔细,守好自己的一亩三分地,

守好自己的底线。以上所有观点均为个人,如果偏差,请大家多多指导一下。再次感谢每一位回帖的人。

你可能感兴趣的:(php session是否存在被破译的可能?)