הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - שאלה PHPSESSID (https://hosts.co.il/forums/showthread.php?t=83015)

Megnum

06-06-10 22:24

שאלה PHPSESSID

היי,
אם אני יודע PHPSESSID כלשהו של אתר מה אני יוכל לעשות איתו?
ואיך מגוננים מפני זה?
תודה!

אדיר	06-06-10 22:59

קודם כל זה מזהה של הלקוח, לא של השרת.
אם אתה משיג מזהה של משתמש אחר אתה יכול להזדהות כאותו משתמש ולגשת לנתונים המשוייכים לסיישן הזה.

אכן יש פה פרצת אבטחה ואם הבן אדם מספיק מבין בנושא ויש במערכת הרבה שימוש בסיישן זה די שימושי ומסוכן.

אפשר להגן מפני זה, קרא על session hijacking ו- session fixation.

HOLD	06-06-10 23:55

אתה יכול במקומות "מסוכנים" לעשות בדיקה של IP,

הכוונה היא שבהתחברות אתה שומר את ה-phpsessid לעמודה של המשתמש שהתחבר ושומר שם את ה-IP,
וכל פעם שהוא עושה פעולה "מסוכנת" (שליחת הודעה,מחיקת הודעה וכו') להעביר אותו דרך הבדיקה, לראות שהוא פתאום לא החליף IP.

כל הזמנים הם GMT +2. הזמן כעת הוא 12:13.