Pagine → 1 2
27/04/2020 09:39:57
Breaker tu parli di session hijacking? Perchè il punto, come dicevo sopra, è il session id... Il resto delle variabili sono gestite lato server, e a quel punto che qualcuno riuscisse a spostarsi da una mappa all'altra sarebbe l'ultimo dei miei problemi.
Ad ogni modo avevo già previsto l'aggiornamento della sessione con session_regenerate_id, per rendere un po' più robusto il tutto in fase di login.
Scusa se insisto, ma non riesco a capire il nocciolo.
Cioè tu mi dici che anche con i mille controlli che ti ho elencato, qualcuno potrebbe modificare il proprio $_SESSION['luogo'] per aggirare i miei controlli perchè quella variabile si inserisce negli update delle query a DB.
Ma come? Sono variabili lato server, e a parte l'ID non sono salvate sul client come cookie.
Ho fatto anche varie ricerche il rete, e gli attacchi sulle sessioni prevedono comunque una violazione dell'ID o della login.
Premesso che nessun sistema può essere sicuro al 100%, dove vedi questà particolare debolezza, tenuto conto che aggiorno anche l'ID di sessione?
Grazie
29/04/2020 22:33:53
Preferisco non entrare nel dettaglio in quanto essendo la maggior parte delle land basate su GDRCD rischio di comprometterle tutte.
Considera che GDRCD e' poco più di un esercizio di php procedurale, qualcosa che al giorno d'oggi viene etichettato come bad practicies.
In linea teorica tutti i tuoi file non dovrebbero essere pubblici, dovresti lasciare raggiungibili tramite url solo index ed i file css, js, imgs, fonts, etc.
Da qui puoi capire che la struttura di GDRCD non e' il massimo, a questo aggiungiamoci che non abbiamo implementato SSL, non vi sono prevenzioni di csfr o xss.
Per quanto riguarda la sessione si basa tutto su un session_start(), non e' stata implementata nessuna chiave di crittografia.
Quindi e' molto facile "fingersi" qualcunaltro ad esempio il gestore...
Non ti scrivo altro altrimenti rischiamo di compromettere gran parte delle land.
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD e Open Source Elenco Forum
I dati del generatore di rank sono stati aggiornati!