Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Session Fixation
--MarekK--
post
Post #1





Goście
Witam.
Mam problem ze zrozumieniem problemu wiec postaram się go przedstawić. Mam aplikację a w niej sekcję odpowiedzalną za bezpieczeństwo dokladnie za kontrole Sesji. W ramach obrony przed Session Fixation stosuje prosty skrypt 
[PHP] pobierz, plaintext 
  1. if (!isset($_SESSION['inicjuj']))
  2.         {
  3.                 session_regenerate_id();
  4.                 $_SESSION['inicjuj'] = true;
  5.        }
[PHP] pobierz, plaintext


I teraz wcielam się w "tego złego" i próbuję namieszać. Tworzę stronę która generuje mi ciasteczko do tej witryny z losowym SSID daje link do strony dla "ofiary" (ja nią jestem) następnie "ofiara" loguję się do aplikacji i....?
Moje zaskoczenie session_regenerate_id(); działa jak należy tworzony jest nowy SSID ale... po każdym odświeżeniu strony użytkownik musi znowu się logować gdyż w jego plikach coockie's jest złośliwe ciasteczko z przygotowanym SSID i np będzie ono istnieć tydzień. Przez tydzień nieszczęsliwy użytkownik ma problemy z korzystania z mojego serwisu bo...? co odświeży stronę to musi się znowu logować (jego sesja zostaje zniszczona przez session_regenerate_id();.

Pytanie do Was co można zrobić żeby uniknąć takiej sytuacji ?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
--MarekK--
post
Post #2





Goście
Okej jedziemy jeszcze raz...

Mamy sobie system logowania oparty na sesjach. Atak (jeśli nie session fixation - to sie myle) polegający na tym a żeby jakiś user zalogował się z określonym SSID, kiedyś to się robiło link?SSID=tralalalal. W moim przypadku atak polega na tym, że na jakieś stronie B jest kod który generuje ciasteczko o nazwie SSID o długości życia 7dni na strone A. Na stronie A znajduje sie zabezpieczenie przed takim atakiem czyli:

[PHP] pobierz, plaintext 
  1. if (!isset($_SESSION['inicjuj']))
  2.         {
  3.                 session_regenerate_id();
  4.                 $_SESSION['inicjuj'] = true;
  5.        }
[PHP] pobierz, plaintext


Teraz ten nieszcześliwy użytkownik jeśli się zaloguję to zostanie mu utworzony nowy ID sesji ale... jak odświeży stronę albo przejdzie na inną podstrone znowu jest (nie zalogowany) ponieważ w jego przeglądarce istnieje ciasteczko z SSID (wygenerowanym przez ta strone (IMG:style_emoticons/default/cool.gif) system regeneruje id. Jeśli ktoś dalej nie wie o co chodzi to prosze zrobić prosty system sprawdzania sesji w PHP + zabezpieczenie które jest w/w (Wikipedia). Do tego prosze zrobić stronę która generuje ciasteczko o długości np 1 godziny z losowym SSID na strone gdzie jest zabezpieczenie. Potem proszę się zalogować i czy się Państwu uda. Mi tak ale odświeżenie strony i znowu trzeba się zalogowac.
Go to the top of the page
+Quote Post

Posty w temacie
- -MarekK-   [PHP]Session Fixation   3.03.2013, 23:28:39
- - nospor   Po pierwsze: kod co tu pokazałeś nie zabezpiecza p...   4.03.2013, 08:13:28
- - -MarekK-   Okej jedziemy jeszcze raz... Mamy sobie system lo...   4.03.2013, 09:03:38
- - nospor   Strona B nie jest wstanie stworzyć ciasteczka dla ...   4.03.2013, 09:09:57
- - -MarekK-   A propo Session Fixation [PHP]if (!isset(...   4.03.2013, 09:19:24
- - nospor   Jak już tak cytujesz tę wiki to proszę: CytatOne w...   4.03.2013, 09:35:56
- - -MarekK-   Dziękuję za wszystkie odpowiedzi. Rozjaśniło mi si...   4.03.2013, 09:40:37
- - nospor   Cytatjeśli troche Pana poirytowałem.Czy wyglądam n...   4.03.2013, 09:44:24

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.10.2025 - 06:11
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn