session会话安全是当前的网站安全防护，必须进行安全部署，session关系到整个用户登录网站和网站进行交互，数据传输都要进行的会话操作，如果session被劫持，那么网站上的用户帐户将被恶意登录，网站管理员的登录也将被劫持，导致网站被劫持，被篡夺，被跳转等情况发生，根据我们创途安全在对客户网站进行安全防护部署时，发现大多数客户网站的登录状态并未进行安全加固，针对session的安全方面，创途安全跟大家分享一下session安全性的相关知识。

　　关于网站安全检测服务这个session就是当用户登录该站点时，会在后台服务器生成一个seeion值并记录到服务器中，这和cookies的原理是一样的，相当于每个用户访问该站点时，session会被分别分配给一个用户，session会被分配给一个用户，而session会被标记出来，正常的会话过程是：用户访问-建立session值-把服务器数据传输给包含session的客户IP，如果用户没有session值，服务器就不会与之交互，不会向用户返回任何数据，sessionid是独立的。

　　会话在日常网站中经常出现的安全问题就是：session被劫持，攻安绕过session检查，直接获取用户信息，有的攻安甚至伪造session来登录网站，登陆任意的会员账号，有的高级攻安还伪造session来登陆网站后台，获得管理员权限。

　　经常有客户使用创途安全漏洞，导致session始终可用，攻击者使用用户session对服务器发送恶意代码，或请求某些用户操作，如修改用户密码、提现、资料修改等。这属于会话重放攻击。还有一种情况，当访问者打开网站后，不登录帐户密码时，已经创建了一个session值，该值在帐户登录之后也与其session一致，即登录时登录和未登录状态都调用了一个session值，如果网站程序在设计期间没有对该值进行安全验证和过滤，那么攻击者就会使用session值登录用户帐户，获得信息，甚至会导致用户信息泄露。

　　因此，如何对站点session会话的安全性进行保护？

　　首先，帐户登录之后的session值是唯一的，并且在帐户退出之后，删除之前写入到服务器端的session值，以防止session始终可用。

　　2.对用户的权限进行安全过滤，这相当于逻辑漏洞范畴中的，当session访问某些具有管理权限的页面时，对其当前管理员帐户的session进行比对；如果session值不是管理员，则直接退出该页并返回错误。如果您对网站安全不太了解，建议找专业网站安全公司处理，国内创途SAFE，启明星辰，深信服，绿盟，都是比较好的。

　　3.在服务器端执行session的有效时间设置，例如设置12小时使用时间，如果session删除超过12小时，防止攻击者恶意利用session会话劫持攻击站点。

　　4.对session进行双向加密验证，与cookies配合加密，加密出的值到服务器端去解密，才能进行正常的数据通信。以上是网站安全防护中session会话安全保护分享，也希望我们创途安全的这次分享，让越来越多的人深入了解网站安全，只有网站安全才能保证我们的网站安全。