 [SESSION_ID] pytanie... |
  |
| [SESSION_ID] pytanie... |
  16.06.2007, 21:20:57
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 278 Pomógł: 10 Dołączył: 13.02.2007 Skąd: Rybnik Ostrzeżenie: (0%) 
 |
Witam,
wiele osób mówi, że można shakować serwis za pomocą Session ID. Dziwi mnie to, gdyż nie widzę jakoś możliwości wykorzystania tego. Mógłby mnie ktoś bardziej oświecić, gdyż robię serwis rozrywkowy, a nie wiem czy się przed tym tak baardzo zabezpieczać. Pozdrawiam 
-------------------- Nawet, jeżeli nie jesteś zainteresowany usługami IT ani outsourcingiem, a Twoją pasją jest programowanie - zobacz naszą stronę. Piszemy dużo fajnych use-caseów, jak podchodzimy do tematu programowania dla naszych klientów. A tak na co dzień tworzymy budujemy mvp oraz tworzymy platformę b2b.
|
 |
 
|
|
16.06.2007, 22:21:25
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 374 Pomógł: 3 Dołączył: 30.12.2006 Skąd: co skąd? Ostrzeżenie: (10%) 
|
ciekawe... tak, znająć sid któregoś z użytkowników mógłbyć chyba zrobić z nim ciastko i korzystać z jego konta... tylko jak iby mam poznac czyjeś sid? zwłaszcza, że ono się zmienia? wydaję mi się problem nie warty kłopotania się nim
-------------------- Tylko sprawdzone typy bukmacherskie na BetGen.pl
Potrzebujesz konta bankowego? Nie? Każdy potrzebuje. Porównaj konta i wybierz najlepsze dla siebie Zostań milionerem zaczynając od zbierania truskawek. Każdy może być bogaty - to nie mit. |
|
|
|
|
16.06.2007, 22:40:42
Post
#3
|
|
 Grupa: Zarejestrowani Postów: 452 Pomógł: 16 Dołączył: 25.05.2004 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)
|
SID napewno można ukraść, niewiem dokładnie jak bo nie interesuje mnie "ciemna strona mocy" ale swego czasu głośno było o tym w środowisku graczy ogame, jacyś cwaniacy kradli SID przez zewnętrzny plik ze stylem css który każdy gracz może sobie w profilu ustawić celem zmiany domyślnego wyglądu gry.
-------------------- \o/
|
|
|
|
|
16.06.2007, 22:50:16
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 174 Pomógł: 0 Dołączył: 27.03.2007 Skąd: Osiek almost City ;-D Ostrzeżenie: (0%)
|
Dane przechowywane sesji są przez serwer i udostępniane po podaniu odpowiedniego SSID. Znając SSID, możemy dostać się do tych danych, choćby nie były one naszymi.
Można na przykład zmienić hasła i inne duperele, choć nie powinno to doprowadzić do "shakowania serwisu", chyba że się zdobędzie dostęp do roota. ]:->
-------------------- "Hmmm, na wakacje trzeba będzie zacząć zarabiać, co nie? ;-] GTA IV się coraz bardziej zbliża... ;-]"
To się nazywa częsty update sygnaturki. ;-) |
|
|
|
|
16.06.2007, 22:53:07
Post
#5
|
|
 Grupa: Zarejestrowani Postów: 1 076 Pomógł: 62 Dołączył: 6.03.2005 Skąd: Wroc Ostrzeżenie: (0%)
|
Po uwierzytelnieniu (jakieś logowanie) serwisy często przypisują danemu SID status "zalogowany" i taka przeglądarka, która poda odpowiedni SID ma dostęp do części chronionej. W momencie, gdy user nie naciśnie "wyloguj" tylko po prostu zamknie przeglądarkę, to sesja jeszcze przez jakiś czas jest aktywna po stronie serwera. Znając aktywny, uwierzytelniony SID można się w tym czasie pod kogoś podszyć.
-------------------- The answer is out there, Neo. It's looking for you. And it will find you, if you want it to.
SERVER_SOFTWARE : Apache/2.2.4 (Win32) PHP/5.2.1 MySQL Client API version : 5.0.27 |
|
|
|
|
17.06.2007, 07:20:45
Post
#6
|
|
 Grupa: Zarejestrowani Postów: 800 Pomógł: 0 Dołączył: 26.11.2005 Skąd: Nowy Sącz Ostrzeżenie: (0%)
|
Ale zawsze istnieje to ryzyko. Najlepszy zabezpieczeniem jest kontrola IP. Więcej nie da się niestety zrobić.
-------------------- Jah Music Is On My Mind !
|
|
|
|
|
17.06.2007, 07:57:44
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 1 076 Pomógł: 62 Dołączył: 6.03.2005 Skąd: Wroc Ostrzeżenie: (0%)
|
Cytat(Turgon @ 17.06.2007, 06:20:45 )  Ale zawsze istnieje to ryzyko. Najlepszy zabezpieczeniem jest kontrola IP. Więcej nie da się niestety zrobić. Właśnie nie IP. Ktoś siedzi w kafejce, zapomniał się wylogować a włamywacz go obserwował. Tamten wyszedł a włąmywacz usiadł do jego komp[pa i się włamał. Sam tak kiedyś bratu w domu zrobiłem 
-------------------- The answer is out there, Neo. It's looking for you. And it will find you, if you want it to.
SERVER_SOFTWARE : Apache/2.2.4 (Win32) PHP/5.2.1 MySQL Client API version : 5.0.27 |
|
|
|
|
17.06.2007, 09:47:02
Post
#8
|
|
 Grupa: Zarejestrowani Postów: 508 Pomógł: 75 Dołączył: 2.11.2005 Skąd: Bydgoszcz Ostrzeżenie: (0%)
|
Cytat(Darti @ 17.06.2007, 08:57:44 ) Właśnie nie IP. Ktoś siedzi w kafejce, zapomniał się wylogować a włamywacz go obserwował. Tamten wyszedł a włąmywacz usiadł do jego komp[pa i się włamał. Sam tak kiedyś bratu w domu zrobiłem Takie cos to juz blad uzytkownika. Rownie dobrze mogl powiedziec "Usiadz na moje konto". W ogole wiekszosc wlaman spowodowanych jest bledami uzytkownikow albo ich czynnosciami ktore moga narazic hasla, id sesji itp. |
|
|
|
|
17.06.2007, 10:11:19
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 33 Pomógł: 0 Dołączył: 19.10.2004 Ostrzeżenie: (0%)
|
Odpisujecie autorowi co zrobic dla bezpieczenstwa, a on sie pyta czy sie da w ogole to zrobic
No wiec da sie. Jednym ze sposob jest metoda silowa - napisanie skryptu, jezeli odgadnie sid, zmienia haslo, wysyla do wlamywacza sms-a, albo maila...konto przjete. Jednak trzeba sobie wyobrazic ile jest mozliwosci...a ich jest dosyc sporo, bo 16 do potegi 32, a jak zakodujemy np. md5 to bedzie ich 10 miliardow. Takze ktos musialby miec niezla determinacje, zeby cos takiego napisac i odpalic. Inny sposob to atakt na komputer klienta serwisu i wykradniecie z niego cookies, ktore by przechowywalo sid do atakowanego serwisu. Zabezpieczenia: - ograniczony czas sesji (zapis w bazie i odczyt przy kazdym zadaniu usera z pomiarem czasu) - po jego przekroczeniu (np. 10min bez aktywnosci dla bankow, godzine dla serwisow rozrywkowych) odnawiamy sid i prosimy o ponowne zalogowanie - sprawdzac user agent w ramach tej samej sesji - sprawdzac ip (ale to moze byc utrudnione ze wzgledu na NAT i Proxy... w przypadku proxy moga sie zmieniac ip przy ich zbyt duzym obciazeniu) |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 14.08.2025 - 06:02 |
