Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 13.08.2014, 06:09
Новичок на форуме
Отправить личное сообщение для vabg Посмотреть профиль Найти все сообщения от vabg
 
Регистрация: 12.08.2014
Сообщений: 5

Защита и доступ $_SESSION php
Здравствуйте.

В общих чертах:

Для авторизации на сайте использую $_SESSION["user"]

Соответсвенно проверка

If(!isset($_SESSION["user"]){header('location: login.php')}

Стандартная ошибка в том, что если пользователь наберет в адресной строке index.php?user=hacker то он попадет в защищенную зону, если я все верно понимаю.

И... вообщем-то так и произошло. Злоумышленник попал в админ панель на моем сайте и поорудовал там вдоволь.

Хочу это исправить, но вот казус. Решил проверить как он это сделал и... вписываем в адресной строке этот параметр и ничего, все также просит авторизироваться. Почему?

Я пробовал по разному и получается все время одно и то же. Выходит что я в свою админ панель могу зайти только по логину и паролю а кто то другой заходит просто так. В чем может быть проблема?
Ответить с цитированием
  #2 (permalink)  
Старый 13.08.2014, 08:21
Аватар для ksa
ksa ksa вне форума
CacheVar
Отправить личное сообщение для ksa Посмотреть профиль Найти все сообщения от ksa
 
Регистрация: 19.08.2010
Сообщений: 14,205

Сообщение от vabg
если пользователь наберет в адресной строке index.php?user=hacker то он попадет в защищенную зону, если я все верно понимаю.
Нет, неправильно.

Сообщение от vabg
Хочу это исправить, но вот казус. Решил проверить как он это сделал и... вписываем в адресной строке этот параметр и ничего, все также просит авторизироваться. Почему?
Потому как переменные адресной строки попадают в реквест, а не сессион.

А хакер твой сначала записал данные в сессион видать самостоятельно. Либо через твою страничку авторизации.
Ответить с цитированием
  #3 (permalink)  
Старый 13.08.2014, 13:13
Новичок на форуме
Отправить личное сообщение для vabg Посмотреть профиль Найти все сообщения от vabg
 
Регистрация: 12.08.2014
Сообщений: 5

А можно поподробнее? Если через мою страницу авторизации, то где смотреть примерно и что исправлять? А если самостоятельно, то это как?
Ответить с цитированием
  #4 (permalink)  
Старый 13.08.2014, 13:46
Аватар для ksa
ksa ksa вне форума
CacheVar
Отправить личное сообщение для ksa Посмотреть профиль Найти все сообщения от ksa
 
Регистрация: 19.08.2010
Сообщений: 14,205

Сообщение от vabg
А можно поподробнее?
Чисто теоретически, поскольку я не хакер...
Твоя страничка должна отправить некий запрос по некоуму адресу, а там и будет произведена запись в сессион.
Вот некто и съэмитировал такой запрос. Получил ту запись в сессион. Теперь может везде у тебя лазить...

Сообщение от vabg
А если самостоятельно, то это как?
Опять же, я не хакер... Т.ч. только теория.
Чтобы получить доступ к "твоей" сессии нужно съэмулировать вход в твой домен, иначе сессия там будет другая...
Ответить с цитированием
  #5 (permalink)  
Старый 13.08.2014, 14:04
Новичок на форуме
Отправить личное сообщение для vabg Посмотреть профиль Найти все сообщения от vabg
 
Регистрация: 12.08.2014
Сообщений: 5

Страница с записью в сессию одна, там проверяется логин и пароль и если все верно, то вносится запись в сессию.

А вот про эмуляцию не понял?
Ответить с цитированием
  #6 (permalink)  
Старый 14.08.2014, 08:33
Аватар для ksa
ksa ksa вне форума
CacheVar
Отправить личное сообщение для ksa Посмотреть профиль Найти все сообщения от ksa
 
Регистрация: 19.08.2010
Сообщений: 14,205

Сообщение от vabg
А вот про эмуляцию не понял?
Чисто в теории...
Хацкер делает страницу на каком-то своем ресурсе, твой то-ведь ему не доступен... Если он съэмулирует свою работу "как на твоем ресурсе" - сможет сам записать в сессию все, что угодно и это будет именно "твоя" сессия.
Т.о. ничего у тебя запрашивать не нужно на проверку...
Ответить с цитированием
  #7 (permalink)  
Старый 14.08.2014, 08:39
Аватар для ksa
ksa ksa вне форума
CacheVar
Отправить личное сообщение для ksa Посмотреть профиль Найти все сообщения от ksa
 
Регистрация: 19.08.2010
Сообщений: 14,205

А может он имеет доступ к твоему ресурсу и имеет тебя прямо с него...
Ответить с цитированием
  #8 (permalink)  
Старый 20.08.2014, 11:44
Профессор
Отправить личное сообщение для skrudjmakdak Посмотреть профиль Найти все сообщения от skrudjmakdak
 
Регистрация: 27.04.2012
Сообщений: 1,410

я думаю лучше посмотреть в логи, какие запросы делал твой чувачек)) какие параметры он туда передавал
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Решение проблемы кодировок для AJAX и PHP без iconv (cp1251 в AJAX) Serge Ageyev AJAX и COMET 10 24.04.2013 20:48
Связь между страницами с javascript и php ... и обратно okrip25 AJAX и COMET 7 09.01.2012 14:43
Запуск выполнения PHP при нажатие на кнопку??? Abibas220 Общие вопросы Javascript 1 05.01.2011 12:05
Как передать картинку из javascript в php KIVagant AJAX и COMET 3 12.05.2010 11:54
Защита от вторжения в php vova_b Javascript под браузер 7 13.12.2009 22:38