 zabezpieczenia przed podmianą sesji |
| zabezpieczenia przed podmianą sesji |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 616 Pomógł: 12 Dołączył: 16.07.2006 Skąd: : getCity ( ); Ostrzeżenie: (0%) 
 |
Witam,
Jak można zabezpieczyć skrypt przez podmianą sesji (session poisoning) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Proszę o porady, bo ostatnio jedna osoba weszła mi do panelu admina ;p |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 41 Pomógł: 3 Dołączył: 5.01.2008 Skąd: Czwarty Świat Ostrzeżenie: (0%)
|
Ja w skryptach zabezpieczam się tak:
Kod <?php // Session session_start(); // Logs and user control if(!isset($_SESSION['ip']) || empty($_SESSION['ip'])) { $line = '['.date('d.m.Y H:i:s').'] IP: '.$_SERVER['REMOTE_ADDR'].' SESSION: '.$_COOKIE["PHPSESSID"]."\n\t\t".$_SERVER['HTTP_USER_AGENT']."\n"; $file = fopen('log.txt','a'); if($file) { fwrite($file,$line); fclose($file); $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; $_SESSION['id'] = $_COOKIE['PHPSESSID']; } } if($_SESSION['ip']!==$_SESSION['ip'] || $_SESSION['id']!==$_COOKIE['PHPSESSID']) { session_unset(); session_regenerate_id(); } ?> Kod sprawdza, czy jest to nowa sesja. Jeśli tak, zapisuje logi (data, IP usera, ID sesji i dane o przeglądarce do pliku log.txt. Następnie sprawdza, czy IP usera zgadza się z IP zapisanym w sesji oraz ID sesji zgadza się z tym wysłanym w ciasteczku. Jeśli coś jest nie tak, zmienia userowi identyfikator, a ten nawet nic nie zauważa. Pozdrawiam, Leo van Damon |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 324 Pomógł: 52 Dołączył: 18.02.2008 Ostrzeżenie: (0%)
|
Cytat(leovandamon @ 13.07.2008, 10:06:52 )  Następnie sprawdza, czy IP usera zgadza się z IP zapisanym w sesji oraz ID sesji zgadza się z tym wysłanym w ciasteczku. Jeśli coś jest nie tak, zmienia userowi identyfikator, a ten nawet nic nie zauważa. Pozdrawiam, Leo van Damon Jak na razie to Twój kod sprawdza czy IP w sesji jest identyczny z ... IP w sesji; jarmiar przyłączam się do posu wyżej o jakiś kod do wglądu. pozdrawiam gino |
|
|
|
jarmiar zabezpieczenia przed podmianą sesji 11.07.2008, 18:11:11 
nospor a skad wiesz ze to spowody dziury w sesji ci weszl... 11.07.2008, 18:13:20 jarmiar gościu który to zrobił napisał do mnie na gg 12.07.2008, 10:40:40 Mlodycompany daj kod. bez kodu ciezko powiedziec 12.07.2008, 10:59:23 jarmiar ustawiam sobie zmienną sesyjną i potem sprawdzam c... 13.07.2008, 08:45:36 jarmiar i to rozwiązanie na pewno pomoze przed atakami zwi... 14.07.2008, 20:44:08 vokiel może tak:
[PHP] pobierz, plaintext <?phpob_star... 15.07.2008, 09:39:57 jarmiar a co z session poisoning?? co poradzic na to? 15.07.2008, 13:10:13 Shili session_use_cookies_only, regeneracja id sesji, ko... 15.07.2008, 13:19:47 artega Do tego może się jeszcze przydać ciastko zawierają... 15.07.2008, 13:25:17 jarmiar Ok dzięki za rady 15.07.2008, 14:23:02 zimi CytatOczywiście, jeśli w grę nie wchodzi współdzie... 15.07.2008, 16:17:16 
Shili Mogłabyś.
W przypadku takiej konfigurac... 15.07.2008, 19:25:24  |
|
Aktualny czas: 28.12.2025 - 05:13 |
