这听起来很奇怪。但目前我们网站的用户是随机看到这种行为的。
当他们匿名浏览网站时,他们会以不同的用户身份登录。他们以当前实际登录系统的用户身份登录。他们可以代表该用户执行所有操作。
我们的系统内置了 modx evolution 1.0.4。我们在登录系统中使用了 WebLogin 片段。
这种行为是否可能发生在中间人 (MITM) 攻击中?
更新
我在服务器端存储了每个请求收到的 cookie 和 ip 列表。我在同一时间看到来自不同 ip 的相同 session 值。此值是使用 session_id() 生成的.不同的机器怎么可能同时获得相同的值(value)?
最佳答案
这听起来像是一个缓存问题。尝试调用未缓存的 weblogin [!WebLogin!] 而不是 [[WebLogin]]
关于php - 用户以不同的用户身份自动登录,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23558304/