SESSION一般是用本地文件进行存储的,最近发现我的网站莫名其妙出现几十万个SESSION。
猜想是被另一种攻击刷SESSION造成的,因为SESSION和客户端浏览器一般是用COOKIE进行关联的,如果客户端COOKIE丢失,服务器就会创建一个新的SESSION。
于是某位注册一个账号,采用不存储COOKIE的某样工具,在我网站反复登录,产生大量SESSION占据磁盘空间。现在已经临时限制了登录总量,以后会采用客户端uid+sqlhash校对方式进行登录,避免这种情况出现。
感觉很恶心,除了DDOS、CC、上传攻击以外,各种新形式的攻击都用在我网站上了,就因为我免费发了一些套图坏了他们生意。以后程序把防御用户作为第一要务。