phpsessid

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • phpsessid

    Hi,
    ich habe im Internet einen Server von einem Freund und darauf ein php forum script laufen.
    Dieses hat mehrere Frames.
    in einer wird immer die phpsessid gespeichert.
    Diese sieht so aus:
    PHP-Code:
    <a href="profil.php?action=&PHPSESSID=60c1467006916221abbcedb1b189d824" target="hauptFrame"
    Nun habe ich mich informiert das php4 die phpsessid jedesmal zufällig erstellt und somit eine veränderung nicht möglich ist.
    Also das man z.B. die PHPSESSID einfach ändert.

    User haben es jedoch geschafft, einfach meinen Admin Nick anzumelden.
    Indem sie die PHPSESSID geändert haben.
    Und promt in meinem Profil waren.
    Die PHP also nachgebaut bzw. ersetzt.

    Die phpsessid´s werden auf dem server ja gespeichert.
    Ist es möglich diese irgendwie zu lesen?
    Mit einen Scipt kann man dcoch nachlesen wo die php alles ist und macht.
    Kann mir da wer n tipp geben?
    Danke

  • #2
    Re: phpsessid

    Original geschrieben von PhPMorpheus

    Nun habe ich mich informiert das php4 die phpsessid jedesmal zufällig erstellt und somit eine veränderung nicht möglich ist.
    Also das man z.B. die PHPSESSID einfach ändert.
    ist richtig, auf dem server wird eine eindeutige session-id erstellt. bei jedem http-aufruf musst du nun dem server deine session-id mitteilen, damit er dich wiedererkennt und deine session wieder aufnimmt.

    in deinem fall überträgst du die session-id per get-parameter in der url. falls du diesen link jetzt öffentlich postest und die session ist noch aktiv, ist jeder user, der diesen link klickt mit deinen rechten angemeldet.
    das war nur ein beispiel des session-hijacking.
    andere möglichkeiten: sniffen des netzwerkverkehrs, auslesen des session-files auf dem server aus dem tmp-pfad, auslesen des refferers bei einem externen link mit session-id usw.
    einmal an eine gültige session id gelangt, kann man "deine" session aufnehmen, indem man den url manipuliert, also die session-id ändert.

    ich denke mal, du hast irgendwie eine url mit aktueller session-id dem angreifer zukommen lassen.
    grundsätzlich ist es besser, die session per session-cookie zu speichern, dann gibt es dieses problem nicht.

    Kommentar


    • #3
      Re: Re: phpsessid

      auslesen des refferers bei einem externen link mit session-id usw.
      Dadran wird es - denke ich - wohl meistens liegen. Bei mir sehe ich täglich einige Referer, die eine SID mitschleppen.
      Die Zeit hat ihre Kinder längst gefressen

      Kommentar


      • #4
        Re: Re: Re: phpsessid

        Original geschrieben von derHund
        Dadran wird es - denke ich - wohl meistens liegen. Bei mir sehe ich täglich einige Referer, die eine SID mitschleppen.
        ist das echt so krass? bei einem fallback auf sessionübertragung per get sollte doch die php-sessionverwaltung externe links automatisch erkennen und keine sid drankritzeln.

        noch eine anmerkung zur sicherheit - ist aber optional, da weitere probleme folgen.

        zusätzlich kann man noch client-merkmale wie z.b. die ip-adresse an die session binden.
        d.h., nur wenn die session-id von der selben ip übertragen wird, die die session gestartet hat, wird diese session wieder aufgenommen.

        wie gesagt, das ist nur optional zu sehen, da folgende probleme dabei entstehen: 29.15. Warum verwendet PHP nicht die IP-Nummer des Browsers als Schutz gegen eine Übernahme der Session?

        Kommentar


        • #5
          Re: Re: Re: Re: phpsessid

          Original geschrieben von 3DMax
          ist das echt so krass? bei einem fallback auf sessionübertragung per get sollte doch die php-sessionverwaltung externe links automatisch erkennen und keine sid drankritzeln.[/URL]
          Das hat doch nix mit der Session-Verwaltung von PHP zu tun und da wird auch kein weiterer GET-Parameter mit der Session-ID hinten dran gebaut. Wir reden hier vom Referer. Was das ist weißt du doch bestimmt.

          Kommentar


          • #6
            ja, hast ja recht - puh, ist das warm heute
            Zuletzt geändert von 3DMax; 20.07.2006, 00:06.

            Kommentar

            Lädt...
            X