Yalnız şunu belirteyim yazdıklarım sizin dediğiniz karakter bozulmalarıyla ilgili....
PHP nin zaten kabul etmediği tipte bir sessid gönderiliyor mu kontrol etmek bana mantıklı gelmeyen kısım... Bunların dışında özel bir durum varsa ne gerekiyorsa onu yapmak gerek... Volkan Altan http://volkanaltan.com/ İyi Çalışmalar. 2012/12/5 Volkan Altan <[email protected]> > Bunu owasp-tr grubuna sorulsa çok güzel cevap gelir eminim. > > Ben önlem almayalım demedim :) > > Şurda iyi özetlenmiş. Önlem olarak ne yapılabilir. > http://stackoverflow.com/questions/328/php-session-security Ama sizin > sorunuz dışardan sessionid değişme ihtimaline karşı sürekli kontrol etmek > gerekli mi ? ise. Zaten php nin yönettiği bir işi ele almak bana çok > mantıklı gelmiyor. Her defasında kontrol et süz gereksiz gibi. Tabi hatalı > bir yorum olabilir... > > Türkeçesini yazarsak ; > > Önemli yerlerde SSL kullanılmalı, > Güvenlik seviyesi değiştiğinde yeni session id üretilmeli. Mesela > kullanıcı login olduğunda > Her session bitiş süresi olmalı > register globals kulanılmamalı. Ki FW kullanıyorsunuz muhtemelen > yapmıyorsunuz öyle şeyler :) > Auth. detaylarını saklayın. > .... > > > > > > Volkan Altan > http://volkanaltan.com/ > İyi Çalışmalar. > > > 2012/12/5 What you get is Not what you see <[email protected]> > >> >> >> >> 2012/12/5 Volkan Altan <[email protected]> >> >>> Aslında olay şu ; >>> >>> 1.x veya 2.x bu soruna çözüm değil. Dışardan biri saldırı amaçlı bu >>> bilgiyi değiştirirse PHP hata verip yeni session oluşturuyor. Warning >>> olduğu için ciddi hata sayılmıyor. >>> Sayfayı yenilediğinizde bu mesaj tekrar karşınıza çıkmaz. >>> >>> Sizin örnek doğrudan saldırı olduğu için gönderdiğim link geçersiz :) >>> >>> Aslında FW nin yaptığı şey ilk olarak session_start(); komutunu >>> çalıştırmak siz manuel session değerlerini değiştirdiğiniz için mevcut >>> sessid ile ilerleyemiyor. Yenisini oluşturuyor. >>> >>> >>> >> >> Yani onlem almaya gerek yok mu? >> >> _______________________________________________ >> Linux-programlama mailing list >> [email protected] >> https://liste.linux.org.tr/mailman/listinfo/linux-programlama >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> >
_______________________________________________ Linux-programlama mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-programlama Liste kurallari: http://liste.linux.org.tr/kurallar.php
