Autor | Zpráva | ||
---|---|---|---|
Beda Profil |
#1 · Zasláno: 11. 5. 2007, 17:35:17
Zdravím,
mám aplikaci, která umožňuje registrování uživatelů. Registrace se skládá z několika kroků. Mezi jednotlivými kroky uchovávám data (včetně hashe hesla) v SESSION (SID předávám v cookie). Byl jsem upozorněn, že to je bezpečnostní riziko, můžete mi někdo prosím vysvětli, v čem spočívá to riziko? Jak se může útočník dostat k datům v SESSION? |
||
maarlin Profil |
#2 · Zasláno: 11. 5. 2007, 22:00:27
Zeptal bych se toho, kým jsi byl upozorněn, já osobně v tom žádné závažnější riziko nevidím, a kdyby už se měla řešit bezpečnost, tak by to imho spíše nevadilo ani tak u registrace, jako spíše u přihlašování, kde by se tedy kdosi mohl dostat "k citlivým datům".
Jestli se mýlím, tak mě někdo opravte ;) |
||
Davex Profil |
#3 · Zasláno: 11. 5. 2007, 23:12:44
Beda
Možná se ti bude hodit článek o kradení session http://www.security-portal.cz/clanky/advanced-session-stealing-cast-1. html |
||
DJ Miky Profil |
#4 · Zasláno: 11. 5. 2007, 23:13:48
K té session se může útočník dostat třeba vykradením uživatelových cookies, třeba nějakým spywarem.
Řešení: Ulož si při vytvoření session i IP + browser (přímo do té session) a pak to na začátku každé stránky kontroluj... Pokud nebude souhlasit, můžeš uživatele odstřihnout, nebo spíše mu vygenerovat vlastní session. Tak zabráníš většině pokusů o napadení. |
||
Beda Profil |
#5 · Zasláno: 12. 5. 2007, 13:09:54
Davex, DJ Miky - dík, přesně něco takovýho sem hledal.
|
||
Časová prodleva: 17 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0