 [security][prawo] Jak można ukraść komuś ciastko?, czyli atak ala cookiemonster :) |
| [security][prawo] Jak można ukraść komuś ciastko?, czyli atak ala cookiemonster :) |
 14.09.2008, 20:04:29
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%) 
 |
jak w temacie.
Ten post edytował Black-Berry 14.09.2008, 23:07:28 -------------------- http://www.berry.nazwa.pl/edico/public_html/index.php ----> under construction
|
 |
 
|
 |
|
14.09.2008, 20:09:20
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)
|
Poprzez ataki XSS i pochodne, wlamujac sie do cudzego komputera lub inne
-------------------- ET LINGUA EIUS LOQUETUR IUDICIUM
|
|
|
|
|
14.09.2008, 21:02:04
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%)
|
można coś na to poradzić w powiązaniu z sesjami oprócz sprawdzania przeglądarki ? Zawsze przecież ktoś może ukraść ciastko i odpalić je na takiej samej przeglądarce.
-------------------- http://www.berry.nazwa.pl/edico/public_html/index.php ----> under construction
|
|
|
|
|
14.09.2008, 22:07:57
Post
#4
|
|
 Grupa: Zarejestrowani Postów: 99 Pomógł: 15 Dołączył: 29.07.2006 Ostrzeżenie: (0%)
|
- nie trzymac w ciastkach nic, czeo ujawnienie mogłoby być szkodliwe
- walidowac dane od użytkownika - odświeżać identyfikator sesji co 15 minut - wyłączyć trans_sid w php - sprawdzić szczelność systemu plików na hostingach współdzielonych (obowiązkowo własny katalog przechowywania zmiennych sesji + sprawdzić, czy nie da się przez php wyjść poza własny zakres katalogów) - wyłączyć register_globals lub zastosowac funkcję wyrejestrowywania zmeinnych globalnych o czyms zapomniałem ? acha -> WALIDOWAĆ DANE OD UŻYTKOWNIKA p.s. warto tez walidowac dane od użytkownika 
|
|
|
|
|
14.09.2008, 22:15:27
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%)
|
Cytat(rybik @ 14.09.2008, 23:07:57 )  - nie trzymac w ciastkach nic, czeo ujawnienie mogłoby być szkodliwe To gdzie mam trzymać id sessji  ? (pisze właśnie własną sesję)
-------------------- http://www.berry.nazwa.pl/edico/public_html/index.php ----> under construction
|
|
|
|
|
14.09.2008, 22:17:46
Post
#6
|
|
 Grupa: Zarejestrowani Postów: 2 291 Pomógł: 156 Dołączył: 23.09.2007 Skąd: ITALY-MILAN Ostrzeżenie: (10%) 
|
Mozesz trzymac w sesji ale nie rob uwierzytelnienia userow tylko na podstawie tego id
-------------------- Zainteresowania: XML | PHP | MY(SQL)| C# for .NET | PYTHON
http://code.google.com/p/form-builider/ Moj blog |
|
|
|
|
14.09.2008, 22:19:00
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%)
|
Cytat(marcio @ 14.09.2008, 23:17:46 ) Mozesz trzymac w sesji ale nie rob uwierzytelnienia userow tylko na podstawie tego id Albo ja albo Ty nie do końca rozumiesz problem  Id sesji jest przecież trzymany w ciastach.uwieżytelnianie miałem nadzieję obić na podstawie przeglądarki i id sesji. Ale jest problem bo ktoś moze użyć tej samej przeglądarki? Jak jeszcze można rozpoznać usera? Nie chcę stosować IP bo pół polski to neostrada. Ten post edytował Black-Berry 14.09.2008, 22:21:29 -------------------- http://www.berry.nazwa.pl/edico/public_html/index.php ----> under construction
|
|
|
|
|
14.09.2008, 22:23:22
Post
#8
|
|
 Grupa: Przyjaciele php.pl Postów: 5 724 Pomógł: 259 Dołączył: 13.04.2004 Skąd: N/A Ostrzeżenie: (0%)
|
Nie tworz po prostu tego serwisu, wtedy nikt nikomu nie ukradnie sesji.
Ew. uzywaj tylko SSL. -------------------- Nie lubię jednorożców.
|
|
|
|
|
14.09.2008, 22:24:31
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%)
|
Cytat(dr_bonzo @ 14.09.2008, 23:23:22 ) Nie tworz po prostu tego serwisu, wtedy nikt nikomu nie ukradnie sesji. Nie chcę pancernych drzwi tylko takie nie otwarte.
Ten post edytował Black-Berry 14.09.2008, 22:25:23 -------------------- http://www.berry.nazwa.pl/edico/public_html/index.php ----> under construction
|
|
|
|
|
14.09.2008, 22:43:02
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 99 Pomógł: 15 Dołączył: 29.07.2006 Ostrzeżenie: (0%)
|
Jeżeli boisz się, że ktos może w 15 minut zwinąć ciastko (sessionid w URL) i wykonac atak ... nie używaj sesji
, w przeciwnym wypadku:- odświeżaj ID, tak żeby ID sprzed godziny (komputer pozostawiony w biurze) nie było juz ważne - dodaj konieczność ponownego wpisania hasła i tokena z obrazka (captcha) przy wykonywaniu waznych czynności administracyjnych - rozważ opcję drugiego hasła do czynności administracyjnych Jeżeli masz obsesję, włącz do działania drugi serwer - kontroler (inna domenę), która ustawi drugie ciastko i sprawdzaj oba wymaga to jednak odrobiny kombinacji i dobrej komunikacji między serwerami. To tak jakbyś RELANY stan zalogowania rozpoznawał na podstawie poprawnego zalogowania na domenie głównej i ukrytego (fikcyjnego) zalogowania na kontrolerze. Brak walidacji z kontrolera ma powodować natychmiastowe wylogowanie. Swoje poczucie bezpieczeństwa opierasz w tym momencie na założeniu że atakujący nie wie o istnieniu kontrolera kradnąc ciastko oraz że nie jest w stanie przypuścic ataku XSS na serwer który żadnych danych od usera nie przyjmuje.** właśnie to wymyśliłem, nie krępujcie się krytykowac 
|
|
|
|
|
14.09.2008, 22:51:01
Post
#11
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%)
|
No dobra. Już nie przesadzam z tym bezpieczeństwem bo nie robię stron dla banków. (Ty chyba pracujesz w jakimś banku prawda
?) Zastanawiam się jeszcze nad tym czy jeśli wykonuję jakąś stronę dla administracji państwowej (np. stronę powiatu) to czy musze spełnić jakieś normy bezpieczeństwa. Czy to jest ustalone gdzies przez prawo?
-------------------- http://www.berry.nazwa.pl/edico/public_html/index.php ----> under construction
|
|
|
|
|
14.09.2008, 23:17:03
Post
#12
|
|
|
Grupa: Zarejestrowani Postów: 99 Pomógł: 15 Dołączył: 29.07.2006 Ostrzeżenie: (0%)
|
Nie pracuję w banku
 1. Walidacja danych to konieczność, cokolwiek byś nie zrobił brak walidacji wysypie całość. Dobra walidacja = brak ryzyka XSS -> ciastko można ukraśc tylko ręcznie 2. Częsty refresh sesji to szybka dezaktualizacja porzuconego ciastka, dodatkowo względnie krótka żywotnośc sesji to mało czasu na kombinacje dla kradzieja |
|
|
|
|
14.09.2008, 23:20:41
Post
#13
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%)
|
Cytat(rybik @ 15.09.2008, 00:17:03 ) 2. Częsty refresh sesji to szybka dezaktualizacja porzuconego ciastka, dodatkowo względnie krótka żywotnośc sesji to mało czasu na kombinacje dla kradzieja No ale jednak przy każdej akcji sesja musi się wydłużyć o następne 15 minut.
-------------------- http://www.berry.nazwa.pl/edico/public_html/index.php ----> under construction
|
|
|
|
|
15.09.2008, 14:35:47
Post
#14
|
|
|
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)
|
najlepiej filtrowac dane pochodzace od uzytkownika juz na samym poczatku pliku ^^
-------------------- ET LINGUA EIUS LOQUETUR IUDICIUM
|
|
|
|
|
15.09.2008, 18:34:23
Post
#15
|
|
|
Grupa: Zarejestrowani Postów: 201 Pomógł: 5 Dołączył: 15.07.2008 Skąd: Kłodzko Ostrzeżenie: (10%)
|
tak się zastanawiam po co ci było ciastko na czas działania przeglądarki skoro mogłeś ustawić cookie na time()+800, czyli 15 minut
-------------------- |
|
|
|
|
15.09.2008, 22:43:03
Post
#16
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%)
|
słuszna uwaga
-------------------- http://www.berry.nazwa.pl/edico/public_html/index.php ----> under construction
|
|
|
|
|
15.09.2008, 23:05:21
Post
#17
|
|
 Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
http://www.beldzio.com/bezpieczenstwo-mechanizmu-sesji.freez sekcja Session fixation
-------------------- |
|
|
|
 |
|
Wersja Lo-Fi | Aktualny czas: 14.08.2025 - 03:47 |
