Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][JavaScript]$_SESSION a włamanie?
Randallmaster
post
Post #1





Grupa: Zarejestrowani
Postów: 677
Pomógł: 11
Dołączył: 18.11.2009

Ostrzeżenie: (0%)
-----

Można za pomocą przeglądarki internetowej dodać do $_SESSION jakąkolwiek zmienną? pytam z ciekawości czy trzeba hashować zmienne w sesji?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Randallmaster
post
Post #2





Grupa: Zarejestrowani
Postów: 677
Pomógł: 11
Dołączył: 18.11.2009

Ostrzeżenie: (0%)
-----

mam zmienną $_SESSION['zaloguj'] = true; jaką drogę musi przejść hacker aby dodać taką zmienną?

Rozumiem że nie jest w stanie tego zrobić za pomocą formularza logowania? Ponieważ występuje zdarzenie:

[PHP] pobierz, plaintext 
  1. if($_POST['login'] == 'cos' && $_POST['password'] == 'cos2'){
  2. 	$_SESSION['zaloguj'] = true;
  3. }
[PHP] pobierz, plaintext


Dokładniej chodzi mi o to w jakich momentach można stworzyć sesje przy użyciu np. ajax'a?
Go to the top of the page
+Quote Post
redeemer
post
Post #3





Grupa: Zarejestrowani
Postów: 915
Pomógł: 210
Dołączył: 8.09.2009
Skąd: Tomaszów Lubelski/Wrocław

Ostrzeżenie: (0%)
-----

Cytat(Randallmaster @ 22.09.2015, 09:43:59 ) *
mam zmienną $_SESSION['zaloguj'] = true; jaką drogę musi przejść hacker aby dodać taką zmienną?

Rozumiem że nie jest w stanie tego zrobić za pomocą formularza logowania? Ponieważ występuje zdarzenie:

[PHP] pobierz, plaintext 
  1. if($_POST['login'] == 'cos' && $_POST['password'] == 'cos2'){
  2. 	$_SESSION['zaloguj'] = true;
  3. }
[PHP] pobierz, plaintext


Dokładniej chodzi mi o to w jakich momentach można stworzyć sesje przy użyciu np. ajax'a?
Aby w tablicy $_SESSION znalazł się element 'zaloguj'=>true, to "PHP" musi wykonać linię $_SESSION['zaloguj'] = true; ergo w twoim przykładzie trzeba znać cos i cos2.

Z mechanizmem sesji związane są inne niebezpieczeństwa np:

https://www.owasp.org/index.php/Session_hijacking_attack
https://www.owasp.org/index.php/Session_fixation
pośrednio https://www.owasp.org/index.php/Cross-Site_..._Forgery_(CSRF)
Go to the top of the page
+Quote Post

Posty w temacie
- Randallmaster   [PHP][JavaScript]$_SESSION a włamanie?   22.09.2015, 08:28:09
- - redeemer   Nie. Twoja przeglądarka wysyła tylko identyfikator...   22.09.2015, 08:39:28
- - Randallmaster   mam zmienną $_SESSION['zaloguj'] = tr...   22.09.2015, 08:43:59
- - redeemer   Cytat(Randallmaster @ 22.09.2015, 09:43...   22.09.2015, 08:54:57

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 15.10.2025 - 05:25
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn