SESSION- Cookie - Hackbar?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
anwenden
code
erstellen
erzeugen
information
inhalt
jemand
normales forum
prinzip
recht voll echo
schliessen
sekunde
server
session
unwahrscheinlich nachteile
vorteil
zugang
zugriff
zutritt
zweck
-
Hallo,
ich habe schon oft gehört, dass manche Cookies umschreiben und sich damit z,B. Premiumaccs holen.
Ist es auch möglich, dass sich jemand selbst einen Session Cookie umschreiben oder gar erstellen könnte?
z.B. wenn ich im Code so eine Abfrage machen würde:
if($_SESSION['recht'] == 'voll'){ echo "Zugang zu allen Seiten gewährt"; } else{ echo "Kein Zugang"; }
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
ja, dies ist vom Prinzip her Möglich sich ein session cookie zu erstellen, allerdings kann man so keine neue Session mit " recht = voll" erstellen, vielmehr können so bestehende sessions von anderen usern die schon ihr passwort eingegeben haben übernommen werden. Dazu muss der, der das anwenden will allerdings die session id des opfers wissen.
-
Den Cookie kann man verändern, die Informationen in der Session jedoch nicht. Klaut man den Inhalt des Session-Cookies eines anderen, dann kann man sich seine Identität aneignen, denn dann denkt der Server, es handle sich wirklich um die Person, die sich auch eingeloggt hat.
Erstellst du aber einen Cookie, in dem du diese Information speicherst, dann ist es ein Leichtes, diese binnen Sekunden zu ändern. -
Also ist es nur bei "normalen" Cookies möglich diese ohne Probleme umzuschreiben?
Wie kann ich verhindern, dass jemand den Session- Cookie klaut und falls er ihn klaut, ist er dann auch noch so lang gülitg, wie normal, bzw. bräuchte der Hacker immer wieder einen neuen Session- Cookie um regelmäßig Zutritt zu erlangen?
Falls sowas mal vorkommen sollte, wäre es mir als Betreiber ja möglich seine IP zu speichern, würde mir das aber überhaupt etwas nützen? -
dazu müsste man session-hijacking machen, also die session eines bereits eingeloggten übernehmen. und das ist nicht unmöglich, aber sehr schwer^^
von demher sind sessions schon sehr sicher aber natürlich auch hackbar -
Gut, wenns sehr schwer ist, sollte es für meine Zwecke reichen... es wird wohl kein Kiddie ein normales Forum hacken wollen^^
-
ggamee schrieb:
dazu müsste man session-hijacking machen, also die session eines bereits eingeloggten übernehmen. und das ist nicht unmöglich, aber sehr schwer^^
von demher sind sessions schon sehr sicher aber natürlich auch hackbar
Richtig mit einer XSS zum Beispiel soweit ich weis ;) -
Sessions funktionieren folgendermassen:
Der Server generiert eine Variable und speichert einen Wert da drin. Der Variable ordnet er eine lange ID hinzu. Dem Client schickt er die ID.
Vorteile:
- Inhalt sowie Variablenname kann nicht angepasst werden.
- Falls du die Session nicht aktiv kreierst in deinem PHP Skript kann niemand eine Session "künstlich" erzeugen.
- ID ist eindeutig einem Client zugeordnet. Mann kann sie nur erhalten wenn man Zugriff auf den PC des Endusers mit dieser ID hat (sehr unwahrscheinlich).
Nachteile:
- Hält nur eine Browsersession lang. Nach dem Schliessen und Öffnen des Browsers muss man eine neue Session lösen.
- keine
hoffe das hat dir Sessions näher gebracht. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage