Zneuzitie sessionID – PHP – Fórum – Programujte.com
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Zneuzitie sessionID – PHP – Fórum – Programujte.comZneuzitie sessionID – PHP – Fórum – Programujte.com

 

dalaman0
Věrný člen
1. 1. 2008   #1
-
0
-

Povedzme ze sa mi podari ziskat sessionID uzivatela pomocou XSS alebo ineho utoku. (pravdepodobne vyuzitim funkcie document.cookie() v javaskripte).

Ako mozem nasledne ukradnute sessionID zneuzit ???

Nepytam sa to pre potrebu hackingu ale pre zlepsenie vlastnych web security znalosti

Dik

Nahlásit jako SPAM
IP: 84.47.15.–
Lepšie je mať psa na saláme ako salámu pod psom !!!
Tocimanko0
Grafoman
9. 1. 2008   #2
-
0
-

:D Mne sa zdá, že SID sa moc nedá zneužiť.

Btw: Ako vidím, dllllho ti nikto neodpovedal, tak mi ťa bolo ľúto :)

Nahlásit jako SPAM
IP: 195.91.54.–
double
~ Anonymní uživatel
19 příspěvků
10. 1. 2008   #3
-
0
-

priklad http://www.security-portal.cz/clanky/php---bezpecne-programovani.html

Nahlásit jako SPAM
IP: 85.71.17.–
dalaman0
Věrný člen
10. 1. 2008   #4
-
0
-

double napsal:
priklad http://www.security-portal.cz/clanky/php---bezpecne-programovani.html



Dik za snahu ale clanok je z roku 2001,

$HTTP_*_VARS a ani. session_register() samozrejme nepouzivam (momentalne kvoly bezpecnosti asi uz nikto) :)

Tocimanko napsal:
:D Mne sa zdá, že SID sa moc nedá zneužiť.

Btw: Ako vidím, dllllho ti nikto neodpovedal, tak mi ťa bolo ľúto :)



POdla mna ked si vypnes cookies a prides na web kde si predchvilou ziskal niekoho SID (cize su sessions na serveri stale aktivne) a pridas do URL ..?PHPSESSID=(to co si ziskal) tak by sa to zneuzit mozno dalo

???

Nahlásit jako SPAM
IP: 78.98.250.–
Lepšie je mať psa na saláme ako salámu pod psom !!!
tom*p0
Stálý člen
10. 1. 2008   #5
-
0
-

SessionID mívá omezenou živnotnost, ale pokud bys získal právě aktuální URL s sessionID nějaké osoby, která je přihlášená, byl bys přihlášený taky, atd.

Nahlásit jako SPAM
IP: 217.115.246.–
Don't waste your time, or time will waste you.
Zelenáč0
Posthunter
10. 1. 2008   #6
-
0
-

dalaman napsal:
POdla mna ked si vypnes cookies a prides na web kde si predchvilou ziskal niekoho SID (cize su sessions na serveri stale aktivne) a pridas do URL ..?PHPSESSID=(to co si ziskal) tak by sa to zneuzit mozno dalo

???


Nedavno jsme to zkouseli se survikem a nefungovalo to...

Nahlásit jako SPAM
IP: 89.176.254.–
Tocimanko0
Grafoman
10. 1. 2008   #7
-
0
-

Hmm, nj, vyzerá to zaujímavo. Ale i tak, SESSID expiruje po nejakom čase a aj keby si sa predsa zmocnil cudzieho SESSID, pochybujem, že by si dokázal využiť tým pádom registrované premenné (iného užív.) . Teda neskúšal som to. Ale Zelenáč+Survik1 vraj áno ;)

Nahlásit jako SPAM
IP: 195.91.54.–
survik1
~ Moderátor
0
Posthunter
10. 1. 2008   #8
-
0
-

To Zelenáč : Když o tom tak mluvíme, našel jsem, kam se v FF Sessions ukládají, princip je stejný jako u cookies, ale nedají se zakázat, tak proto =) Kdyžtak po icq.

Nahlásit jako SPAM
IP: 89.102.163.–
Život je jen hra, která se nedá vyhrát.
dalaman0
Věrný člen
10. 1. 2008   #9
-
0
-

Chces povedat ze ked si vypnem cookies tak sa mi session budu do cookies stale ukladat :) ? zaujimave... Plati to len pre firefox ?

Nahlásit jako SPAM
IP: 78.99.1.–
Lepšie je mať psa na saláme ako salámu pod psom !!!
Tocimanko0
Grafoman
11. 1. 2008   #10
-
0
-

To dalaman: SESSIONs sú na strane servera. To vypnúť nemôžeš. Cookies vypnúť môžeš. V tom prípade sa ti už ukladať nebudú ;)
To survik1: Môžeš mi pls povedať, kde si to našiel (vo FF) ?? Aj ja som to prednedávnom objavil, ale zabudol som že kde :D Díky.

Nahlásit jako SPAM
IP: 195.91.54.–
audiotrack0
Newbie
14. 1. 2008   #11
-
0
-

no tak to by aj mňa zaujímalo

Nahlásit jako SPAM
IP: 87.197.106.–
Zjistit počet nových příspěvků

Přidej příspěvek

Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!

Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku

×Vložení zdrojáku

×Vložení obrázku

Vložit URL obrázku Vybrat obrázek na disku
Vlož URL adresu obrázku:
Klikni a vyber obrázek z počítače:

×Vložení videa

Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
 
Podporujeme Gravatara.
Zadej URL adresu Avatara (40 x 40 px) nebo emailovou adresu pro použití Gravatara.
Email nikam neukládáme, po získání Gravatara je zahozen.
-
Pravidla pro psaní příspěvků, používej diakritiku. ENTER pro nový odstavec, SHIFT + ENTER pro nový řádek.
Sledovat nové příspěvky (pouze pro přihlášené)
Sleduj vlákno a v případě přidání nového příspěvku o tom budeš vědět mezi prvními.
Reaguješ na příspěvek:

Uživatelé prohlížející si toto vlákno

Uživatelé on-line: 0 registrovaných, 23 hostů

 

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý