[PHP]Session hijacking a $_SESION

[PHP]Session hijacking a $_SESION

Grandalf00 Zobacz profil	5.06.2016, 15:34:53 Post #1
Grupa: Zarejestrowani Postów: 44 Pomógł: 0 Dołączył: 23.01.2016 Ostrzeżenie: (0%)	Witajcie! Od pewnego czasu bawie się php, napisałem sobie apke do budżetu domowego i w między czasie pojawiła się kwestia bezpieczeństwa, a konkretnie - session hijacking. Na wielu stronach, forach i w tutkach proponuje się np pobierać User-Agent i porównywać, a nawet są pomysły z adresem IP. Jednak nawet te zabiegi są mało warte dla "chcącego" (IMG:style_emoticons/default/smile.gif) Przeglądarki można użyć tej samej, a czytałem, że IP też można sfałszować (oczywiście musimy znać adres naszej ofiary). Wszystkie inne metody jak np ustawianie zmiennych w tablicy $_SESSION nie mają żadnego sensu. Czy naprawdę nie ma innych metod ochrony przez wejście osobnika, który wykradł PHPSESSID? Mówie o sytuacji bez SSL i o takiej rozmawiajmy (IMG:style_emoticons/default/smile.gif)

Odpowiedzi

KsaR Zobacz profil	5.06.2016, 16:12:51 Post #2
Grupa: Zarejestrowani Postów: 520 Pomógł: 102 Dołączył: 15.07.2014 Skąd: NULL Ostrzeżenie: (0%)	1. Dodaj do ciasteczek flagę httpOnly. Np dla sesji możesz tak: [PHP] pobierz, plaintext ini_set('session.cookie_httponly', true); [PHP] pobierz, plaintext 2. Możesz w sesji stworzyć np. Hash w ktorym będzie: [PHP] pobierz, plaintext $_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_LANGUAGE'].$_SERVER['HTTP_ACCEPT_CHARSET']; [PHP] pobierz, plaintext I w razie gdyby się nie zgadzał możesz poprosić o ponowne zalogowanie itp, lub skasować sesję.