שאלה PHPSESSID - הוסטס

Megnum · 06-06-10, 22:24

היי,
אם אני יודע PHPSESSID כלשהו של אתר מה אני יוכל לעשות איתו?
ואיך מגוננים מפני זה?
תודה!

אדיר · 06-06-10, 22:59

קודם כל זה מזהה של הלקוח, לא של השרת.
אם אתה משיג מזהה של משתמש אחר אתה יכול להזדהות כאותו משתמש ולגשת לנתונים המשוייכים לסיישן הזה.

אכן יש פה פרצת אבטחה ואם הבן אדם מספיק מבין בנושא ויש במערכת הרבה שימוש בסיישן זה די שימושי ומסוכן.

אפשר להגן מפני זה, קרא על session hijacking ו- session fixation.

HOLD · 06-06-10, 23:55

אתה יכול במקומות "מסוכנים" לעשות בדיקה של IP,

הכוונה היא שבהתחברות אתה שומר את ה-phpsessid לעמודה של המשתמש שהתחבר ושומר שם את ה-IP,
וכל פעם שהוא עושה פעולה "מסוכנת" (שליחת הודעה,מחיקת הודעה וכו') להעביר אותו דרך הבדיקה, לראות שהוא פתאום לא החליף IP.

06-06-10, 22:24	# 1
Megnum חבר וותיק מיני פרופיל תאריך הצטרפות: May 2007 מיקום: אשד הודעות: 1,308	שאלה PHPSESSID היי, אם אני יודע PHPSESSID כלשהו של אתר מה אני יוכל לעשות איתו? ואיך מגוננים מפני זה? תודה! __________________ סטודיו לבניית אתרים בניית אתרים לעורכי דין בתי דפוס מומלצים

06-06-10, 22:59	# 2
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	קודם כל זה מזהה של הלקוח, לא של השרת. אם אתה משיג מזהה של משתמש אחר אתה יכול להזדהות כאותו משתמש ולגשת לנתונים המשוייכים לסיישן הזה. אכן יש פה פרצת אבטחה ואם הבן אדם מספיק מבין בנושא ויש במערכת הרבה שימוש בסיישן זה די שימושי ומסוכן. אפשר להגן מפני זה, קרא על session hijacking ו- session fixation. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

06-06-10, 23:55	# 3
HOLD חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 623	אתה יכול במקומות "מסוכנים" לעשות בדיקה של IP, הכוונה היא שבהתחברות אתה שומר את ה-phpsessid לעמודה של המשתמש שהתחבר ושומר שם את ה-IP, וכל פעם שהוא עושה פעולה "מסוכנת" (שליחת הודעה,מחיקת הודעה וכו') להעביר אותו דרך הבדיקה, לראות שהוא פתאום לא החליף IP.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)