| Autor | Zpráva | ||
|---|---|---|---|
| lamatér Profil * |
#1 · Zasláno: 10. 6. 2008, 14:38:05
Teď se mi ozval jeden spolužák, že se mu podařilo z mojeho jak říká "slabě zabezpečeného" webu dostat PHPSESSID jiných uživatelů...
a že by tedy bylo možené zmást systém a přihlásit se jako nějaký jiný uživatel, který má ještě aktivní session přihlášení. Já ale pochybuji, že kvůli tomuhle bych musel dělat něco víc zabezpečení, jen to, že vytáhl cizí PHPSESSID z něčí cookie přece neznamená, že ji nějak dostane zpátky do systému... cookies přece nejdou změnit ze strany klienta ne? |
||
| nightfish Profil |
#2 · Zasláno: 10. 6. 2008, 14:41:00
cookies přece nejdou změnit ze strany klienta ne?
samozřejmě že jdou btw předáváš phpsessid vždy přes cookies nebo v případě, že jsou vypnuté, i přes URL? |
||
| lamatér Profil * |
#3 · Zasláno: 10. 6. 2008, 15:02:05
právě předávám jen přes cookies a z toho usuzuji, že by na takové vložení potřeboval vložit do stránky nějaký svůj javascript
|
||
| peta Profil |
#4 · Zasláno: 10. 6. 2008, 15:04:28
lamatér
jakpsatweb - javascript - priklady - cookies Tak jdou nebo nejdou? Nebo je ten priklad chybny? :) O tomto tematu uz se tusim v PHP foru psalo nekolikrat a je spoustu clanku na webu, jak se hacknout pres databazi, cookies, session, get, post... Diskuse » Javascript » Čitelné phpsessid ostatních uživatelů Jak souvisi dotaz s javascriptem? Se muze stat, ze za nekolik takovych zamerne spatne umistenych temat te zacnou na jakpsatweb blokovat. (nikde nebylo receno, ze to scizil javascriptem, coz je jeden z moznych zpusobu) |
||
| lamatér Profil * |
#5 · Zasláno: 10. 6. 2008, 16:11:00
Právě že přesně nevím co si mám to tom čitelném phpsessid myslet nevím jak ho získal ani co přesně to pro mě znamená
v javasctiptu je to protože jakpsatweb - javascript - priklady - cookies se na jakpsatweb jinde o cookies nepíše a phpsessid se uchovává v cookies |
||
| joe Profil |
#6 · Zasláno: 10. 6. 2008, 17:15:54 · Upravil/a: joe
A proč vlastně používat phpsessid?
A o jaký web jde? |
||
| lordfrikk Profil |
#7 · Zasláno: 10. 6. 2008, 17:27:04
Pokud máš opravdu špatně zabezpečený web, tak mohl použít XSS k vypsání cizích cookies na svém webu a pak jednoduše zjistí id sessionu a přihlásí se pod toho určitého uživatele...
|
||
|
Časová prodleva: 16 let
|
|||
0