PDA

View Full Version : حرفه ای: امنیت در صفحات مدیریت!



2undercover
شنبه 25 آذر 1391, 19:45 عصر
با سلام و خسته نباشید خدمت زحمت کشان!!!

من توی وبسایتم برای این که چک کنم که حتما Admin وارد صفحه ی مدیریت شده به این صورت عمل می کنم:


if(isset($_SESSION['AdminLogedIn'])&&$_SESSION['AdminLogedIn']==true)
{
//سایر کد های صفحه مدیریت
}
else
{
header('Location: ../index.php');
exit('شما مجوز دسترسی به این صفحه را ندارید!!!');
}


1. می خواستم بدونم که این کار از نظر امنیتی مشکل داره یا نه؟!

2.اگر مشکل داره بهترین و امنترین کار چیه؟!

3. اصلا خود هکر می تونه این Session رو دستی ایجاد کنه(بدون Login)؟

siavashsay
شنبه 25 آذر 1391, 19:53 عصر
امروز این بار سوم هست که دارم این پست ها رو میزنم :) یکم جستجو کنید متوجه میشید !
دوست عزیز !
1- این کار از نظر امنیتی مشکلی نداره . بلکه باید اینکارو انجام بدید ام از راه صحیحش و اینکه امنیت و محدودیتهای بیشتری رو اعمال کنید !
2- مشکل نداره و برای اعمال محدودیت بیشتر متن زیر رو بخونید
3- سشن ها معمولا متغیرهایی هستند که در سمت سرور ایجاد میشن ! به عنوان مثال سشن مروبط به سایت a.com با سشن مربوط به سایت b.com حتی اگر یک اسم داشته باشن باز هم فرق میکنند ! چون هر سایت و سروری کد گذاری جداگانه ای داره !
اما ...
معمولا هکرها از روش Session Fixation استفاده میکنن که تنها یکککککک راه نفوذ هست !
برای اینکه از امنیت سایت خودتون مطلع شید و جلوگیری کنید مباحث مربوط به Session fixation - XSS - CSRF - SQL injection - JS injection و غیره رو مطالعه کنید !
این کتاب رو دانلود کنید (http://dlbook.net/?p=6671)
نوشته آقای استخریان !
توی همین فروم هم به وفور میشه در این مورد اطلاع پیدا کنید !