 [PHP]Session hijacking a $_SESION |
| [PHP]Session hijacking a $_SESION |
 5.06.2016, 15:34:53
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 44 Pomógł: 0 Dołączył: 23.01.2016 Ostrzeżenie: (0%) 
 |
Witajcie! Od pewnego czasu bawie się php, napisałem sobie apke do budżetu domowego i w między czasie pojawiła się kwestia bezpieczeństwa, a konkretnie - session hijacking.
Na wielu stronach, forach i w tutkach proponuje się np pobierać User-Agent i porównywać, a nawet są pomysły z adresem IP. Jednak nawet te zabiegi są mało warte dla "chcącego"  Przeglądarki można użyć tej samej, a czytałem, że IP też można sfałszować (oczywiście musimy znać adres naszej ofiary). Wszystkie inne metody jak np ustawianie zmiennych w tablicy $_SESSION nie mają żadnego sensu.Czy naprawdę nie ma innych metod ochrony przez wejście osobnika, który wykradł PHPSESSID? Mówie o sytuacji bez SSL i o takiej rozmawiajmy
|
 |
 
|
Grandalf00 [PHP]Session hijacking a $_SESION 5.06.2016, 15:34:53 
KsaR 1. Dodaj do ciasteczek flagę httpOnly.
Np dla sesj... 5.06.2016, 16:12:51 Grandalf00 Cytat(KsaR @ 5.06.2016, 17:12:51 ) 1.... 5.06.2016, 16:41:38 
valvadis Dobrym zabezpieczeniem będzie zablokować możliwość... 5.06.2016, 18:54:09   |
|
Wersja Lo-Fi | Aktualny czas: 14.08.2025 - 02:08 |
