En nuestro sitio web, cuando se detecta un ID de sesión de PHP no válido, se registra y se regenera.
Esta sesión no válida se ha registrado:
n040jl1nujch72tkrmr0uilnl1, s_vi=[CS]v1|2A19B9B4853135D2-60000109E00013F4[CE]
¿Está alguien tratando de explotar una vulnerabilidad?
Esta es la forma actual en que se regenera la ID
// If it's invalid, generate a new ID.
$chars="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789,-";
srand((double)microtime()*1000000);
$i = 0;
$pass = '' ;
while ($i<=35){
$num = rand() % 33;
$tmp = substr($chars, $num, 1);
$pass = $pass . $tmp;
$i++;
}
session_id($pass);
Pero en los próximos días, estaremos actualizando la base de código para usar esto, es necesario regenerarlo.
session_id(uniqid());