0
Kayıt Ol

Cookie açığı?

11

3.053

  • 02-10-2010, 15:56:45
    #1
    Muzo
    Muzo
    Yanılmıyorsam XSS açığı olarak geçiyor,
    setcookie şeklinde giriş yapınca yazdırdığım cookieler adres satırına

    "javascript:document.cookie = 'UYE=uyeadi;expires=Fri, 21 Dec 2012 10:00:00 GMT';"

    yazdığımdada rahatlıkla oluşuyor böylece üye girişi yapmadan siteyi kullanabiliyor hatta admin kullanıcısı olarak bile girilebilir.

    Biraz inceleme yaptım yerli yabancı kişisel yazılan bi çok scriptte aynı açığı gördüm, Bunu nasıl engellerim, nasıl kapanır bu açık?
  • 02-10-2010, 16:07:12
    #2
    BHCoder
    BHCoder
    Üyeliği durduruldu
    üye girişlerini sadece cookie ile korumayınız
    session cookie ile verileri tekrar tekrar kontrol ediniz.

    yada sadece session kullanın
  • 02-10-2010, 16:08:49
    #3
    MC_delta_T
    MC_delta_T
    Üyeliği durduruldu
    onu öyle yapmaya ne gerek var ki. curl ile istediğim siteye istediğim cookie değerleri ile request gönderebilirim.
  • 02-10-2010, 16:14:32
    #4
    Muzo
    Muzo
    BHCoder adlı üyeden alıntı: mesajı görüntüle
    üye girişlerini sadece cookie ile korumayınız
    session cookie ile verileri tekrar tekrar kontrol ediniz.

    yada sadece session kullanın

    Yanlızca session kullanmak istemiyorum, üye tarayıcıyı kapattığında çıkış yapmasın, hatta 1 hafta boyunca çıkış yapmadığı takdirde siteyi her ziyaretinde otomatik giriş yapılmış olsun.

    Buda cookie ile yapılabilir fakat kullanıcı giriş yapınca hem session hem cookie yazdıracaksam zaten bi manası kalmıyor, tarayıcıyı kapatınca o session yine uçuyor.

    bir mantık yürütemedim, nasıl halledebilirim acaba.
  • 02-10-2010, 17:06:19
    #5
    Deimosx
    Deimosx
    kullanıcı verilerini daha karmaşık bir şekilde cookie olarak kaydettirebilirsin,
  • 02-10-2010, 17:36:00
    #6
    eagle_one
    eagle_one
    GET, POST gibi verileri filtrele... addslashes, strip_tags, htmlspecialchars, v.s. v.s. Ne bekliyorsan onu almaya bak... id= değişkeni sadece rakamsal ise is_numeric i kullan...

    Sadece cookie kullanma... Session da kullan... Ama session u da dikkatli kullan...

    http://shiflett.org/articles

    Şu sitedeki makaleleri incele... Faydasını göreceksin
  • 02-10-2010, 18:27:00
    #7
    THR
    THR
    Üyeliği durduruldu
    kullanıcının şifresinide şifrelenmiş şekilde cookie'e yazdır
  • 02-10-2010, 22:43:55
    #8
    terabilisim
    terabilisim
    THR adlı üyeden alıntı: mesajı görüntüle
    kullanıcının şifresinide şifrelenmiş şekilde cookie'e yazdır
    şifreyi kaydetmek mantıklı değil bence, kaydedersekte,

    Kullanıcı adı : ali olsun. md 5 leriz. 32 uzunluğunda olur. 8 harfli 4 parcaya böleriz a1 a2 a3 a4, şifreyide aynı şekil yapıp böleriz. b1,b2,b3,b4 sonra çapraz yada sırası ile yanyana yazarız.
    a1 b2 a2 b3 a3 b4 a4 b1

    fikir vermek açısından söyledim. Şifre kaydetme taraftarı değilim.

    Ancak sadece çerez açığı olarak düşünmemek lazım. Bir sistem düşününkü giriş yaptınız. Sadece adres çubuğunda siparisid= değerini değiştirdiğinizde başkasının alışverişlerini görebilirsiniz.

    Ondan dolayı her zaman sayfayi talep edenin isteneni elde etmeye/silmeye/görüntülemeye/düzenlemeye hakkı varmı diye sorgulama/mantık kontrolü yapmak lazım.

    Kaldı ki her gün gördüğünüz büyük siteler bile bu tür kontroller yapmaz iken...

    Bu arada THR, isminiz bir yerden tanıdık geldi.
  • 02-10-2010, 22:47:50
    #9
    akadal34
    akadal34
    loginde kullanıcıya sorun. devamlı açık kalmayı işaretliyorsa kullanıcı adı ve şifresini direk cookie kaydedin. sayfaya geldiğinde giriş yaptırın. aksi takdirde sadece session tutun. siz de mutlu olun, kullanıcınız da olsun.