Moja witryna znajduje się pod atakiem brute force, w którym atakujący próbują uzyskać dostęp do kont użytkowników. Boty nie mają agenta użytkownika. Mam system, który blokuje możliwość logowania się przez osobę, która przekroczyła 3 próby na konto w czasie poniżej 10 minut.Czy sesje są przechowywane tylko w przeglądarce?
Sprawdziłem również dla klienta użytkownika, a jeśli nie, wyjdź.
Moje pytanie brzmi: Czy sesje są przechowywane tylko w przeglądarkach? Myślę, że używają skryptu uruchamianego za pośrednictwem wiersza poleceń.
I zostały wdrożone to także:
if(!isset($_COOKIE[ini_get('session.name')])) {
header("HTTP/1.0 404 Not Found");
exit;
}
Czy coś jeszcze mogę zrobić, aby zapobiec takim atakom?
Sesje to pamięć po stronie serwera, które są (zazwyczaj) połączone z użytkownikami za pomocą plików cookie. – nickb
Google for: Session Hijack in php – Yang