 [PHP]Session hijacking a $_SESION |
| [PHP]Session hijacking a $_SESION |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 44 Pomógł: 0 Dołączył: 23.01.2016 Ostrzeżenie: (0%) 
 |
Witajcie! Od pewnego czasu bawie się php, napisałem sobie apke do budżetu domowego i w między czasie pojawiła się kwestia bezpieczeństwa, a konkretnie - session hijacking.
Na wielu stronach, forach i w tutkach proponuje się np pobierać User-Agent i porównywać, a nawet są pomysły z adresem IP. Jednak nawet te zabiegi są mało warte dla "chcącego" (IMG:style_emoticons/default/smile.gif) Przeglądarki można użyć tej samej, a czytałem, że IP też można sfałszować (oczywiście musimy znać adres naszej ofiary). Wszystkie inne metody jak np ustawianie zmiennych w tablicy $_SESSION nie mają żadnego sensu. Czy naprawdę nie ma innych metod ochrony przez wejście osobnika, który wykradł PHPSESSID? Mówie o sytuacji bez SSL i o takiej rozmawiajmy (IMG:style_emoticons/default/smile.gif) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 7 Pomógł: 1 Dołączył: 7.12.2014 Ostrzeżenie: (0%)
|
Dobrym zabezpieczeniem będzie zablokować możliwość wielu sesji dla jednego użytkownika, a do tego ustawić krótki czas życia sesji.
Można też zastosować protokół HTTPS. |
|
|
|
Grandalf00 [PHP]Session hijacking a $_SESION 5.06.2016, 15:34:53 
KsaR 1. Dodaj do ciasteczek flagę httpOnly.
Np dla sesj... 5.06.2016, 16:12:51 Grandalf00 Cytat(KsaR @ 5.06.2016, 17:12:51 ) 1.... 5.06.2016, 16:41:38  |
|
Aktualny czas: 3.10.2025 - 09:25 |
