 [PHP]Session Fixation |
| [PHP]Session Fixation |
| --MarekK-- |
Post
#1
|
|
Goście  |
Witam.
Mam problem ze zrozumieniem problemu wiec postaram się go przedstawić. Mam aplikację a w niej sekcję odpowiedzalną za bezpieczeństwo dokladnie za kontrole Sesji. W ramach obrony przed Session Fixation stosuje prosty skrypt
I teraz wcielam się w "tego złego" i próbuję namieszać. Tworzę stronę która generuje mi ciasteczko do tej witryny z losowym SSID daje link do strony dla "ofiary" (ja nią jestem) następnie "ofiara" loguję się do aplikacji i....? Moje zaskoczenie session_regenerate_id(); działa jak należy tworzony jest nowy SSID ale... po każdym odświeżeniu strony użytkownik musi znowu się logować gdyż w jego plikach coockie's jest złośliwe ciasteczko z przygotowanym SSID i np będzie ono istnieć tydzień. Przez tydzień nieszczęsliwy użytkownik ma problemy z korzystania z mojego serwisu bo...? co odświeży stronę to musi się znowu logować (jego sesja zostaje zniszczona przez session_regenerate_id();. Pytanie do Was co można zrobić żeby uniknąć takiej sytuacji ? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004 |
Cytat jeśli troche Pana poirytowałem. Czy wyglądam na poirytowanego? (IMG:style_emoticons/default/smile.gif) I przestań z tym Panem.... przez Ciebie czuję się jak facet po 60tce i to już mnie zaczyna irytować (IMG:style_emoticons/default/wink.gif) |
|
|
|
-MarekK- [PHP]Session Fixation 3.03.2013, 23:28:39 
nospor Po pierwsze: kod co tu pokazałeś nie zabezpiecza p... 4.03.2013, 08:13:28 -MarekK- Okej jedziemy jeszcze raz...
Mamy sobie system lo... 4.03.2013, 09:03:38 nospor Strona B nie jest wstanie stworzyć ciasteczka dla ... 4.03.2013, 09:09:57 -MarekK- A propo Session Fixation
[PHP]if (!isset(... 4.03.2013, 09:19:24 nospor Jak już tak cytujesz tę wiki to proszę:
CytatOne w... 4.03.2013, 09:35:56 -MarekK- Dziękuję za wszystkie odpowiedzi. Rozjaśniło mi si... 4.03.2013, 09:40:37  |
|
Aktualny czas: 5.10.2025 - 05:11 |
