如何伪造验证会话 ID、IP 地址和 http 客户端的 Rails 会话

Question

我对 Rails 比较陌生，我决定破坏自己的身份验证系统，该系统检查 3 个变量常量：IP 地址、Rails 会话 ID 和 HTTP 客户端。我得到这些的方式是：

ip_address = request.env['action_dispatch.remote_ip'].to_s
session_id = request.env['action_dispatch.request.unsigned_session_cookie']['session_id'].to_s
http_client = request.env['HTTP_USER_AGENT'].to_s

基本上，由于这仅供个人使用（用于我的博客），我想要的只是一次单个用户访问。

我的问题是除了“HTTP_USER_AGENT”之外，如何从我的网络应用程序中伪造这些信息？是否可以向 Rails 发送不同的 IP 地址和会话 ID？只是理论上。我想看看这里有什么可能......

谢谢。

Answer 1

浏览器发送的任何内容都可以从另一个浏览器伪造，以模仿您自己的浏览器发送的内容。

这里唯一的例外是远程 IP 地址。那个是网络服务器从连接中提取出来的，不容易伪造。

因此，使用您的身份验证机制，您不妨忘记会话 ID 和用户代理。两者都容易受到重放攻击。

所以基本上你的保护方法就变成了 IP 地址保护。这对于一些简单的个人页面来说很好，但如果您在这些页面上存储敏感信息，您可能需要考虑使用更安全的东西。

您可以阅读Rails Security Guide 以更好地了解哪些攻击是可能的以及 Rails 的一些基本安全原则。