View Full Version : حرفه ای: امنیت session
crazy_1892
سه شنبه 08 اسفند 1391, 23:07 عصر
سلام دوستان این تاپیک را ایجاد کردم که در مورد امنیت session ها بحث کنیم ،خیلی از برنامه نویسان عزیز هستند که از session برای کارهاشون استفاده میکنند(مثلا تبادل اطلاعات بین صفحات ،صفحه بندی و ..)
به نظر بنده مهمترینشم استفاده برای لاگین که در خیلی از سایت ها استفاده میشود.
از دوستان عزیز خواهش دارم که در مورد تامین نسبی امنیت سشن ها هر چی میدونند بنویسند که در آخر به یک جمع بندی برسیم
crazy_1892
سه شنبه 08 اسفند 1391, 23:30 عصر
متداولترین روش هک کردن سشن ها Session hijack است.
در این روش هکر با استفاده از دزدیدن id سشن شما خود را به جای شما جا میزند (این مورد را در نظر داشته باشید که id سشن در یک فایل در کوکی های سسیتم کاربر دخیره میشود )
و اما روش مقابله با این روش:
طبق جستجو های که بنده کردم با چک کردن Ip و user agent ها میشه جلوی این کار رو گرفت و با تغییر Ip سشن را از expire کرد.
لطفا این روش را مورد نقد و بررسی قرار بدید و اگه مشکلی بود بگید
منتظر پاسخ های دوستان در تاپیک هستم
zahrashoja
دوشنبه 21 اسفند 1391, 12:22 عصر
این بحث ادامه ای نداره؟؟؟
crazy_1892
دوشنبه 21 اسفند 1391, 16:43 عصر
اگه دوستان کم لطفی نکنند و بحث را ادامه بدن فکر میکنم مطالب کاملی بتونیم در مورد session در اینجا یاد بگیریم
morteza_mokhtari
دوشنبه 21 اسفند 1391, 22:23 عصر
سلام بنده هم همین کار رو میکنم IP فردی که لاگین میکنه(مدیر سایت) رو درون سشن قرار میدم و تویه page_load مسترپیج صفحه ادمین , ip کاربر رو با ip داخل سشن مقایسه میکنم اگه یکی نبود به صفحه پیوندها redirect میکنه.از دوستان دیگه که اطلاعاتی تویه این زمینه دارن ممنون میشم راهنمایی کنید که همگی استفاده کنیم.
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.