Meine Website befindet sich unter einem Brute-Force-Angriff, bei dem die Angreifer versuchen, Zugriff auf Benutzerkonten zu erhalten. Die Bots haben keinen Benutzeragenten. Ich habe ein System, das eine Person daran hindert, sich einzuloggen, wenn sie 3 Versuche pro Konto in weniger als 10 Minuten überschreitet.Sind Sitzungen nur in einem Browser gespeichert?
Ich machte es auch für einen Benutzer-Agent überprüfen, und wenn nicht, beenden.
Meine Frage ist: Sind Sitzungen nur in Browsern gespeichert? Was ich denke ist, dass sie ein Skript verwenden, das über die Befehlszeile ausgeführt wird.
habe ich dies auch umgesetzt:
if(!isset($_COOKIE[ini_get('session.name')])) {
header("HTTP/1.0 404 Not Found");
exit;
}
Gibt es etwas, was ich diese Angriffe zu verhindern tun kann?
Sitzungen sind serverseitige Speicher, die (normalerweise) mit Benutzern mit Cookies verknüpft sind. – nickb
Google für: Session Hijack in PHP – Yang