PDA

View Full Version : تغییر session فعلی



hsl_hsv
پنج شنبه 04 آبان 1391, 11:56 صبح
مثلا الانکه داخل این سایت لاگین هستم سشن یوزرو پسوردم با یوزرو پسوردم ست شده و سایت برای اینکه دیتاهای منو بهم نشون بده select هاشو از طریق مقادیر این سشن ها به جداول مربوط به من ربط میده
بخاطر همین مقدارهای این سشن ها خیلی اهمیت امنیتی دارن , می خواستم ببینم از طریق غیر سایت و غیر امنیتی میشه این مقادیرو خوند و تغییرشون داد؟

fallahpour
جمعه 05 آبان 1391, 00:46 صبح
فقط از طریق هک سرور و یا حمله csrf میشه چنین کاری کرد .. که روش های بسیار پیچیده ای هستن..

djsaeedkhan
شنبه 06 آبان 1391, 00:25 صبح
فقط از طریق هک سرور و یا حمله csrf میشه چنین کاری کرد .. که روش های بسیار پیچیده ای هستن..
سلام
با عذرخواهی از دوستمون سخت هست ولی نه خیلی.
اگر شما شرایط خاصی برای ارسال فرم هات قرار ندی. و فرم ها بعد از ارسال شدن مستقیم درج بشن. هکر می تونه با ایجاد فرم های تقلبی اطلاعات رو اتوماتیک ارسال کنه و خوووب سایت هم اونارو به نام کاربر درج می کنه.
کوتاه ترین راه برای حل این مشکل استفاده از یه فیلد Hidden هست که یه مقدار منحصر به فرد درست کنه که بعد از 5 دقیقه هم از بین بره. نیازی نیست که از دیتابیس استفاده بشه. باید رمز منحصربه فرد رو با زمان بصورت کد در بیارید و بعد از ارسال اونو بررسی کنید. در صورتی که از زمان گذشته بود اونو درج نکنید.

djsaeedkhan
شنبه 06 آبان 1391, 00:26 صبح
اینم از مقاله یه دوست
http://barnamenevis.org/showthread.php?282986-%D8%B1%D9%88%D8%B4-%D8%AC%D9%84%D9%88%DA%AF%DB%8C%D8%B1%DB%8C-%D8%A7%D8%B2-%D8%AD%D9%85%D9%84%D9%87%D8%A1-CSRF