Kodowania strony internetowej w PHP, która zawiera boolean $_SESSION['logged_in']
. Ta wartość jest ustawiona na true
, gdy nazwa użytkownika i hasło są zgodne w bazie danych.Sesja podszywania się (PHP)
Jestem całkiem nowy w sesjach i zastanawiałem się, czy możliwe jest, aby niezarejestrowany (lub, jeśli to możliwe, zarejestrowany) użytkownik pominął proces logowania, ustawiając tę wartość logiczną na true
, jak byłoby to możliwe w przypadku ciastko.
Rozumiem, że użytkownik musiałby manipulować zmienną po stronie serwera od strony klienta, ale moje pytania są takie proste, jak użytkownik wykonałby takie zadanie, czy istnieją znane exploity i jakie są najlepsze praktyki/środki zapobiegawcze, aby uniknąć tego rodzaju ataku?
Jeśli klient może zmienić dane sesji na serwerze bez konkretnego zezwolenia, masz większe problemy. Byłbym bardziej zaniepokojony jakimś brzydkim współdzielonym hostingiem z jakimś współdzielonym katalogiem tymczasowym, w którym przechowywane są dane sesji. Lub nawet fiksacja sesji. – PeeHaa
@PeeHaa, uzgodniono .. – verbumSapienti
http://stackoverflow.com/questions/6912223/jest-jest-możliwością-zmienić--sesję-znaka-klienta-side –