phpsessid

**3DMax** · 19.07.2006, 22:14

Re: phpsessid

Original geschrieben von PhPMorpheus

Nun habe ich mich informiert das php4 die phpsessid jedesmal zufällig erstellt und somit eine veränderung nicht möglich ist.
Also das man z.B. die PHPSESSID einfach ändert.

ist richtig, auf dem server wird eine eindeutige session-id erstellt. bei jedem http-aufruf musst du nun dem server deine session-id mitteilen, damit er dich wiedererkennt und deine session wieder aufnimmt.

in deinem fall überträgst du die session-id per get-parameter in der url. falls du diesen link jetzt öffentlich postest und die session ist noch aktiv, ist jeder user, der diesen link klickt mit deinen rechten angemeldet.
das war nur ein beispiel des session-hijacking.
andere möglichkeiten: sniffen des netzwerkverkehrs, auslesen des session-files auf dem server aus dem tmp-pfad, auslesen des refferers bei einem externen link mit session-id usw.
einmal an eine gültige session id gelangt, kann man "deine" session aufnehmen, indem man den url manipuliert, also die session-id ändert.

ich denke mal, du hast irgendwie eine url mit aktueller session-id dem angreifer zukommen lassen.
grundsätzlich ist es besser, die session per session-cookie zu speichern, dann gibt es dieses problem nicht.

**derHund** · 19.07.2006, 23:13

Re: Re: phpsessid

auslesen des refferers bei einem externen link mit session-id usw.

Dadran wird es - denke ich - wohl meistens liegen. Bei mir sehe ich täglich einige Referer, die eine SID mitschleppen.

**3DMax** · 19.07.2006, 23:49

Re: Re: Re: phpsessid

Original geschrieben von derHund
Dadran wird es - denke ich - wohl meistens liegen. Bei mir sehe ich täglich einige Referer, die eine SID mitschleppen.

ist das echt so krass? bei einem fallback auf sessionübertragung per get sollte doch die php-sessionverwaltung externe links automatisch erkennen und keine sid drankritzeln.

noch eine anmerkung zur sicherheit - ist aber optional, da weitere probleme folgen.

zusätzlich kann man noch client-merkmale wie z.b. die ip-adresse an die session binden.
d.h., nur wenn die session-id von der selben ip übertragen wird, die die session gestartet hat, wird diese session wieder aufgenommen.

wie gesagt, das ist nur optional zu sehen, da folgende probleme dabei entstehen: 29.15. Warum verwendet PHP nicht die IP-Nummer des Browsers als Schutz gegen eine Übernahme der Session?

**Happy Nihilist** · 19.07.2006, 23:59

Re: Re: Re: Re: phpsessid

Original geschrieben von 3DMax
ist das echt so krass? bei einem fallback auf sessionübertragung per get sollte doch die php-sessionverwaltung externe links automatisch erkennen und keine sid drankritzeln.[/URL]

Das hat doch nix mit der Session-Verwaltung von PHP zu tun und da wird auch kein weiterer GET-Parameter mit der Session-ID hinten dran gebaut. Wir reden hier vom Referer. Was das ist weißt du doch bestimmt.

**3DMax** · 20.07.2006, 00:02

ja, hast ja recht - puh, ist das warm heute

phpsessid

phpsessid

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Wird geladen... Bitte warte.

phpsessid

phpsessid

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar