Pełna wersja: [PHP][JavaScript]$_SESSION a włamanie?
Można za pomocą przeglądarki internetowej dodać do $_SESSION jakąkolwiek zmienną? pytam z ciekawości czy trzeba hashować zmienne w sesji?
Nie. Twoja przeglądarka wysyła tylko identyfikator sesji (zazwyczaj w ciastku np. PHPSESSID) a sesja jest trzymana na serwerze.
mam zmienną $_SESSION['zaloguj'] = true; jaką drogę musi przejść hacker aby dodać taką zmienną?
Rozumiem że nie jest w stanie tego zrobić za pomocą formularza logowania? Ponieważ występuje zdarzenie:
Dokładniej chodzi mi o to w jakich momentach można stworzyć sesje przy użyciu np. ajax'a?
Rozumiem że nie jest w stanie tego zrobić za pomocą formularza logowania? Ponieważ występuje zdarzenie:
Dokładniej chodzi mi o to w jakich momentach można stworzyć sesje przy użyciu np. ajax'a?
Cytat(Randallmaster @ 22.09.2015, 09:43:59 ) 
mam zmienną $_SESSION['zaloguj'] = true; jaką drogę musi przejść hacker aby dodać taką zmienną?
Rozumiem że nie jest w stanie tego zrobić za pomocą formularza logowania? Ponieważ występuje zdarzenie:
Dokładniej chodzi mi o to w jakich momentach można stworzyć sesje przy użyciu np. ajax'a?
Aby w tablicy $_SESSION znalazł się element 'zaloguj'=>true, to "PHP" musi wykonać linię $_SESSION['zaloguj'] = true; ergo w twoim przykładzie trzeba znać cos i cos2.Rozumiem że nie jest w stanie tego zrobić za pomocą formularza logowania? Ponieważ występuje zdarzenie:
Dokładniej chodzi mi o to w jakich momentach można stworzyć sesje przy użyciu np. ajax'a?
Z mechanizmem sesji związane są inne niebezpieczeństwa np:
https://www.owasp.org/index.php/Session_hijacking_attack
https://www.owasp.org/index.php/Session_fixation
pośrednio https://www.owasp.org/index.php/Cross-Site_..._Forgery_(CSRF)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.