Подлог сессий
Вообще-то этот вопрос можно было бы и задать в FAQ по разработке безопастности... но я решил там не мусорить.
Так вот. Сессию ведь можно спокойно подсунуть. Берем отключаем куки, смотрим на айдишник сессии и всё.
Можно переслать кому-нить или самому пооткрывать страницу со скрипта.
НО!!! На одной сайте я заметил интерестную вещь: если их страница была открыта в одном браузере, то в другом и тем более со скрипта она уже не откроется.
Получается, они в сессию кидают версию браузера или как?
Как думаете можно ли в таком случае хакнуть сессию, если да, то как? и как её можно еще дозащитить?
Так вот. Сессию ведь можно спокойно подсунуть. Берем отключаем куки, смотрим на айдишник сессии и всё.
Можно переслать кому-нить или самому пооткрывать страницу со скрипта.
НО!!! На одной сайте я заметил интерестную вещь: если их страница была открыта в одном браузере, то в другом и тем более со скрипта она уже не откроется.
Получается, они в сессию кидают версию браузера или как?
Как думаете можно ли в таком случае хакнуть сессию, если да, то как? и как её можно еще дозащитить?
Цитата:
Originally posted by Новая папка
Вообще-то этот вопрос можно было бы и задать в FAQ по разработке безопастности... но я решил там не мусорить.
Так вот. Сессию ведь можно спокойно подсунуть. Берем отключаем куки, смотрим на айдишник сессии и всё.
Можно переслать кому-нить или самому пооткрывать страницу со скрипта.
НО!!! На одной сайте я заметил интерестную вещь: если их страница была открыта в одном браузере, то в другом и тем более со скрипта она уже не откроется.
Получается, они в сессию кидают версию браузера или как?
Как думаете можно ли в таком случае хакнуть сессию, если да, то как? и как её можно еще дозащитить?
Вообще-то этот вопрос можно было бы и задать в FAQ по разработке безопастности... но я решил там не мусорить.
Так вот. Сессию ведь можно спокойно подсунуть. Берем отключаем куки, смотрим на айдишник сессии и всё.
Можно переслать кому-нить или самому пооткрывать страницу со скрипта.
НО!!! На одной сайте я заметил интерестную вещь: если их страница была открыта в одном браузере, то в другом и тем более со скрипта она уже не откроется.
Получается, они в сессию кидают версию браузера или как?
Как думаете можно ли в таком случае хакнуть сессию, если да, то как? и как её можно еще дозащитить?
Номер ссесии можно генерировать как угодно. При желании загони все данные о клиенте в строчку и пробегись md5(). Можно и так ссесия (реалный номер, который автоматом генериться) + IP + версия браузера + версия системы + что ещё придумаешь и пробегать по этому выше указанной функцией.
Цитата:
Originally posted by Новая папка
Вообще-то этот вопрос можно было бы и задать в FAQ по разработке безопастности... но я решил там не мусорить.
Так вот. Сессию ведь можно спокойно подсунуть. Берем отключаем куки, смотрим на айдишник сессии и всё.
Можно переслать кому-нить или самому пооткрывать страницу со скрипта.
НО!!! На одной сайте я заметил интерестную вещь: если их страница была открыта в одном браузере, то в другом и тем более со скрипта она уже не откроется.
Получается, они в сессию кидают версию браузера или как?
Как думаете можно ли в таком случае хакнуть сессию, если да, то как? и как её можно еще дозащитить?
Вообще-то этот вопрос можно было бы и задать в FAQ по разработке безопастности... но я решил там не мусорить.
Так вот. Сессию ведь можно спокойно подсунуть. Берем отключаем куки, смотрим на айдишник сессии и всё.
Можно переслать кому-нить или самому пооткрывать страницу со скрипта.
НО!!! На одной сайте я заметил интерестную вещь: если их страница была открыта в одном браузере, то в другом и тем более со скрипта она уже не откроется.
Получается, они в сессию кидают версию браузера или как?
Как думаете можно ли в таком случае хакнуть сессию, если да, то как? и как её можно еще дозащитить?
Хммм, мне всегда казалось, что сессии хранятся на веб сервере, а не на локальной машине юзера. Причем тут куки ума не приложу.
Цитата:
Originally posted by kasap
Хммм, мне всегда казалось, что сессии хранятся на веб сервере, а не на локальной машине юзера. Причем тут куки ума не приложу.
Хммм, мне всегда казалось, что сессии хранятся на веб сервере, а не на локальной машине юзера. Причем тут куки ума не приложу.
Здрасте-приехали....
Учите матчасть про механизм сессий.
По теме:
Реально, в идентификатор сессии можно хоть свою автобиографию вставить.
Цитата:
Originally posted by kasap
Хммм, мне всегда казалось, что сессии хранятся на веб сервере, а не на локальной машине юзера. Причем тут куки ума не приложу.
Хммм, мне всегда казалось, что сессии хранятся на веб сервере, а не на локальной машине юзера. Причем тут куки ума не приложу.
Немного для развития:). Как они по твоему юзера узнают? Как совет, присоединяюсь к mfender и от себя ещё хочу добавить подучить HTTP.