[es] - čitanje/zapisivanje sessije

mickey.co.ba
Miralem Halilovic
Sarajevo, BiH

Član broj: 26263
Poruke: 136
91.191.50.*

Sajt: 11betting.com

Profil

^{17.07.2008. u 19:13 - pre 192 meseci}

Da li je moguće nekoj osobi zapisati sessiju ili pročitati vrijednost sesije nekako hakanjem, ja kod sebe na localhostu kad zapišem sessiju u firefoxu kad gledam zapisane Cookiese vidim i PHPSESSIONID koji je nekako šifrovan pa me interesuje dali je moguće nekome da vidim preko svog brovsera vrijednost sesije nekog drugog sajta. znam da su sesije snimljene na serveru al ovo me malo buni sad sto se sesije sa localhostu pojavljuju u ovom firefox-ovom tool-u za gledanje cookies-a.

ovo me interesuje jer planiram praviti loginovanje koje ce imati zapisan u sebi samo ID korisnika, pa ako je moguce da neko zapisuje sessije, onda bi bilo jednostavno zapisati i userID administratora i biti logovan kao administrator...

Odgovor na temu

1r0nM4n
Nenad Vasić
Web Developer
Beograd

Član broj: 55970
Poruke: 441
*.artcommunication.co.yu.

ICQ: 303614173
Sajt: www.nenadvasic.com

+1 Profil

Re: čitanje/zapisivanje sessije

^{18.07.2008. u 01:02 - pre 192 meseci}

Citat:

kad zapišem sessiju u firefoxu kad gledam zapisane Cookiese vidim i PHPSESSIONID koji je nekako šifrovan

Nije ništa šifrovano nego je to Session ID koji po default-u ima 32 random karaktera pa izgleda možda da je šifrovano. Ti možeš da staviš da ti tu piše i "pera" ako hoćeš..

Citat:

pa me interesuje dali je moguće nekome da vidim preko svog brovsera vrijednost sesije nekog drugog sajta

Misliš na nekog korisnika na nekom drugom sajtu.. Ako je to, onda može na neki način da ako sajt ima neki XSS vuln (google za više detalja).

Citat:

znam da su sesije snimljene na serveru al ovo me malo buni sad sto se sesije sa localhostu pojavljuju u ovom firefox-ovom tool-u za gledanje cookies-a.

Sama sesija i njeni podaci jesu na serveru ali server mora da zna kom korisniku pripada određena sesija. Zato on zabeleži ID sesije kod korisnika u obliku "kolačića" (ili na neki drugi način ako je drugačije definisano) i kad korisnik opet pristupi sajtu, server pročita ID i korisnik opet ima svoju sesiju.

Citat:

ovo me interesuje jer planiram praviti loginovanje koje ce imati zapisan u sebi samo ID korisnika, pa ako je moguce da neko zapisuje sessije, onda bi bilo jednostavno zapisati i userID administratora i biti logovan kao administrator...

Naravno. To je loša realizacija datog primera. Imaš na google dosta stvari o tome pa pogledaj: http://www.google.rs/search?hl=sr&q=php+login

p0z

Odgovor na temu

Nemanja Avramović
Engineering Manager
MENU Technologies
Beograd, Srbija

Moderator
Član broj: 32202
Poruke: 4391
77.46.192.*

Sajt: https://avramovic.info

+46 Profil

Re: čitanje/zapisivanje sessije

^{18.07.2008. u 08:20 - pre 192 meseci}

Jesi siguran da su 32 random karaktera? Meni tih 32 "random" karaktera liči na md5 hash

Laravel Srbija.

_{[NE PRUŽAM PODRŠKU ZA PHP PREKO PRIVATNIH PORUKA!]}

Odgovor na temu

mickey.co.ba
Miralem Halilovic
Sarajevo, BiH

Član broj: 26263
Poruke: 136
91.191.50.*

Sajt: 11betting.com

Profil

Re: čitanje/zapisivanje sessije

^{18.07.2008. u 12:40 - pre 192 meseci}

ok narode hvala na informacijama...

Odgovor na temu

1r0nM4n
Nenad Vasić
Web Developer
Beograd

Član broj: 55970
Poruke: 441
91.150.97.*

ICQ: 303614173
Sajt: www.nenadvasic.com

+1 Profil

Re: čitanje/zapisivanje sessije

^{18.07.2008. u 15:06 - pre 192 meseci}

Citat:

Nemanja Avramović: Jesi siguran da su 32 random karaktera? Meni tih 32 "random" karaktera liči na md5 hash :)

Čini mi se da sam negde ranije pročitao da nije MD5 iako izgleda tako. A ako je MD5, onda je to hash od nekoliko random karaktera. :)

Odgovor na temu