Séance de détournement ou d'attaque?

Par meilleure haine est que quelqu'un a une mauvaise identification de session dans leur cookie de session et cause l'erreur.

Je ne vois pas comment quiconque utiliserait un identifiant de session non valide pour le détournement de la session. P>

Si vous souhaitez reproduire l'erreur: P>

<?php
error_reporting(E_ALL);
session_start();
session_id ("$");

Qu'est-ce qui est probablement fait ici, c'est que ce client a changé le contenu de Phpsessid Cookie. Normalement, la sessionID est quelque chose comme "62BF75FB02922CF9C83FB3521255B4AB" (hexadécimal)

Cependant, l'utilisateur aurait pu modifier le cookie en utilisant certains outils. Cela ne cause aucun préjudice à votre site Web et à votre serveur, car cette modification est effectuée le côté client et en le faisant, cela n'affecte pas le serveur (à l'exception de la génération de ces erreurs). Ce que vous pouvez faire, c'est que lorsque vous recevez une telle erreur, vous modifiez l'ID de session et remplacez celui qui se trouve sur le client. P>

Voir solution: p>

$ok = @session_start();
if(!$ok){
  session_regenerate_id(true); // replace the Session ID
  session_start(); // restart the session (since previous start failed)
}

Ceci est probablement causé par des spambots. Je vois beaucoup de spambots envoyés une carte d'identité de session comme paramètre d'obtention, qu'ils essaient ensuite d'utiliser pour une injection SMTP ou d'envoyer un courrier électronique. Je vais essayer de trouver une preuve quelque part de mes journaux, mais je sais que cela m'est arrivé sur au moins une douzaine de sites. Quand je l'ai vu, les get vars ressemblaient à: ? Sid=v14gra@spam.com \ n \ Sujet: Blah bla bla \ n \ n \ n \ n \ nspam email ICI ...