Session Hijacking

Typ ataku powiązany z poprzednim, kiedy ktoś ma wyłączone ciasteczka w przeglądarce to identyfikator sesji jest dołączany do adresu, gdy zalogowany użytkownik prześle ten identyfikator innemu użytkownikowi , to ten otrzymuje możliwość używania sesji zalogowanego użytkownika. Aby i przed tym atakiem się zabezpieczyć należy do poprzedniego skryptu dodać:

<?php
session_start();
if (!isset($_SESSION[‘sprawdz’])){
session_regenerate_id();
$_SESSION[‘sprawdz’] = true;
$_SESSION[‘adres_ip’] = $_SERVER[‘REMOTE_ADDR’];
}
if($_SESSION[‘adres_ip’] !== $_SERVER[‘REMOTE_ADDR’]){
echo ‘Błąd: Próba przejęcia sesji’;
exit;
}
?>

622 total views, 1 views today

Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code