![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 8.09.2011 Ostrzeżenie: (0%) ![]() ![]() |
Witam.
Tworzę małą portalopodobną stronę, na której jest możliwość rejestracji, dodawania contentu itd. Dla wygody zarządzania zrobiłem panel admina. W bazie użytkownik ma kolumnę 'id_rangi' (ranga admina to 0). Przy logowaniu pobieram do $_session id_rangi i na stronach panelu sprawdzam:
Sesje zabezpieczyłem funkcją:
Chodzi głównie o to, by dane użytkowników (Imię, Nazwisko, Nr. telefonu, Adres) nie dostały się w niepowołane ręce. Czy poza ustawieniem prawidłowo praw do plików i powyższymi 'zabezpieczeniami' można coś jeszcze zastosować, by ukrócić starania wścibskiego użytkownika z Kali Linux? (IMG:style_emoticons/default/smile.gif) Ten post edytował TimeMaster 26.03.2019, 16:50:18 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 594 Pomógł: 66 Dołączył: 22.02.2008 Skąd: Dublin Ostrzeżenie: (0%) ![]() ![]() |
Sprawdzam IP z sesji i ze zmienną SERVER by uniknąć wykradania sesji. Wystarczy na tym forum wejść w narzędzie 'zbadaj element', zakładka DANE (w FF, nie wiem jak w innych) i mamy forum_session_id... Teraz na nieogarniającej nic osobie można za pomocą phishingu wyłudzić id sesji i użyć jej w hijackingu - stąd zabezpieczenie sprawdzające IP zapisane w sesji i IP użytkownika. Teraz pytanie, czy jest to jakiekolwiek zabezpieczenie (dla amatorów najpewniej tak). Nie potrzebuję zabezpieczeń rodem z aplikacji bankowych, wolę być świadomy i w jakimś stopniu przygotowany. Raczej nie spodziewam się, że przechowywane dane będą łakomym kąskiem. Jednak będę spał spokojniej, wiedząc, że hacker zrezygnował z wydobycia danych przez stronę/serwer/bazę i stwierdził, że łatwiej będzie je wyciągnąć bezpośrednio od użytkownika. https://stackoverflow.com/questions/1223340...ssion-hijacking tutaj ma sz mysle wystarczajace wyjasnienie. Jest napisane ze myki z ip nie sa dobrym rozwiazaniem. Po pierwsze IP sa teraz w wiekszosci dynamiczne. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 15.10.2025 - 02:09 |