问:因为现在教育局要求学校必须通过这个检测,不能有漏洞,请技术协助处理一下,谢谢!
这是扫描出的结果:
以下是360给出的修复方法:
发现时间:
漏洞类型:其他
所属建站程序:其他
所属服务器类型:通用
所属编程语言:PHP
描述:目标存在PHPSESSID已知会话确认攻击漏洞。
1.通过注入用户的会话,冒充用户去通过网站的认证。
展开
危害:1.冒充用户去通过认证,然后进行下一步攻击。
展开
解决方案:在PHP.INI文件中配置 session.use_only_cookies = 1。该选项让管理员能够避免用户被攻击。默认值为 0.
注:
1. 请确认修改的 php.ini 文件是当前网站使用的,您可以使用 phpinfo()函数来确认 php.ini 文件位置;
2. 去掉前面的分号。
如 ;session.use_only_cookies = 1 改为
session.use_only_cookies = 1
,今天用360网站扫描,发现PHPSESSID已知会话确认攻击
答:您好:
当前已修改为1,非常感谢您长期对我司的支持!
问:360检测的 请问php.ini文件在哪
答:您好,
session.use_only_cookies = 1
我们虚拟主机都是设置的,非常感谢您长期对我司的支持!
问:在PHP.INI文件中配置 session.use_only_cookies = 1。该选项让管理员能够避免用户被攻击。默认值为 0.
注:
1. 请确认修改的 php.ini 文件是当前网站使用的,您可以使用 phpinfo()函数来确认 php.ini 文件位置;
2. 去掉前面的分号。
如 ;session.use_only_cookies = 1 改为
session.use_only_cookies = 1
答:您好,
????session.use_only_cookies = 1 本身就是设置开启的,设置on 和1 均表示开启,360检查状态是1。 请您自行核实一下。??
非常感谢您对我司的支持,谢谢!??
问:您好,我的网站存在安全漏洞:“严重]PHPSESSID已知会话确认攻击”
修补方案:
在PHP.INI文件中配置 session.use_only_cookies = 1。该选项让管理员能够避免用户被攻击。默认值为 0.
注:
1. 请确认修改的 php.ini 文件是当前网站使用的,您可以使用 phpinfo()函数来确认 php.ini 文件位置;
2. 去掉前面的分号。
如 ;session.use_only_cookies = 1 改为
session.use_only_cookies = 1
但是,我找不到php.ini文件!!!!这个文件在哪里????
问:因为是虚拟主机,是不是需要您给帮助设置一下php.ini文件?
答:您好,
该参数系统默认设置即为1,通过探针您也可以查看状态是on,非常感谢您长期对我司的支持!
