Autor Zpráva
lamatér
Profil *
Teď se mi ozval jeden spolužák, že se mu podařilo z mojeho jak říká "slabě zabezpečeného" webu dostat PHPSESSID jiných uživatelů...
a že by tedy bylo možené zmást systém a přihlásit se jako nějaký jiný uživatel, který má ještě aktivní session přihlášení.
Já ale pochybuji, že kvůli tomuhle bych musel dělat něco víc zabezpečení, jen to, že vytáhl cizí PHPSESSID z něčí cookie přece neznamená, že ji nějak dostane zpátky do systému... cookies přece nejdou změnit ze strany klienta ne?
nightfish
Profil
cookies přece nejdou změnit ze strany klienta ne?
samozřejmě že jdou

btw předáváš phpsessid vždy přes cookies nebo v případě, že jsou vypnuté, i přes URL?
lamatér
Profil *
právě předávám jen přes cookies a z toho usuzuji, že by na takové vložení potřeboval vložit do stránky nějaký svůj javascript
peta
Profil
lamatér
jakpsatweb - javascript - priklady - cookies
Tak jdou nebo nejdou? Nebo je ten priklad chybny? :)

O tomto tematu uz se tusim v PHP foru psalo nekolikrat a je spoustu clanku na webu, jak se hacknout pres databazi, cookies, session, get, post...

Diskuse » Javascript » Čitelné phpsessid ostatních uživatelů
Jak souvisi dotaz s javascriptem? Se muze stat, ze za nekolik takovych zamerne spatne umistenych temat te zacnou na jakpsatweb blokovat.
(nikde nebylo receno, ze to scizil javascriptem, coz je jeden z moznych zpusobu)
lamatér
Profil *
Právě že přesně nevím co si mám to tom čitelném phpsessid myslet nevím jak ho získal ani co přesně to pro mě znamená
v javasctiptu je to protože jakpsatweb - javascript - priklady - cookies se na jakpsatweb jinde o cookies nepíše a phpsessid se uchovává v cookies
joe
Profil
A proč vlastně používat phpsessid?

A o jaký web jde?
lordfrikk
Profil
Pokud máš opravdu špatně zabezpečený web, tak mohl použít XSS k vypsání cizích cookies na svém webu a pak jednoduše zjistí id sessionu a přihlásí se pod toho určitého uživatele...

Vaše odpověď

Mohlo by se hodit

Neumíte-li správně určit příčinu chyby, vkládejte odkazy na živé ukázky.
Užíváte-li nějakou cizí knihovnu, ukažte odpovídajícím, kde jste ji vzali.

Užitečné odkazy:

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: