SESSION保存路径可列出引发的安全问题-电脑资料

Session保存路径可列出引发的平安问题电脑资料现在虚拟主机是越来越平安了，虽然是不能直接跨到对方网站目录，但是可以去读对方的Session下面我们做个演示,有localtestl.safel

21.和localtest

2.safel

21.假设我们设置了baseopendir不能随意跨，也不能拿到效劳器权限的时候，有3个PHP一个是建立SESSION一个是去除SESSION还有一个是显示SESSION我们在网站1中建立session用不同的浏览器，以保证隔离在网站2中建立session我们在A浏览器中显示Sessionl再显示SESSION2当然，session2是显示不出来的，因为他没在这个浏览器建立session我们用webshell翻开SESSION目录我们的目标是盗用网站2的session用根据文件所有者，文件大小来判断出网站2的SESSION最后修改session值来盗用网站2的session修复方法

1.在网站程序session开始之前指定session保存路径，比方在网站建立个文件夹，叫sEsS10n-1213213124sdkfsd权限为可写，之后在网站程序SESSION开始之前sessionsavepath sEsS10n-1213213124sdkfsd,;sessionstart;指定session保存路径，

2.养成良好的习惯，用完后台之后及时点退出，别直接关浏览器

3.在SESSION保存IP地址，如果IP地址不一样，那么强制退出，不过如果在使用后台时IP变了的话，这样会导致误退出模板，内容仅供参考。