PHP sessions hacklenebilirmi?

Question

Merhabalar üyelik tabanlı sitemde kullanıcı bilgilerini güncellemek istediğinde sessios bilgilerinden kullanıcı mail adresini alıp o mail adresinin bilgilerini update ediyor

benim sorum şu bu sessions bilgileri burp suite veya herhangi bir araçla değiştiriliebilirmi değiştirilebilirse farklı kullanıcıların verileri de değiştirilebilir

sessions bilgleir değiştirlebilrimi bu mümkünmü?

ReH · Answer

Session Hijacking ile yapılabilir

bu dediğiniz instagram'da story atarken oluyor mesela burp ile forward yapıp verileri değiştirince instagramda o profile girince çöküyor

Scarecrow · Answer

Sessions veya Cookie ikisi de müdahale edilebilir sistemlerdir. Ben ikisinin karışımını kullanıyorum, çoğu kapsamlı yazılımlar bu şekilde yapıyor. Tabii verileri kendi belirlediğiniz bir algoritma ile şifreliyorsunuz. Yoksa dediğiniz programlara ihtiyacınız yok, Chrome'dan bile editlenebilir

Tabi burada kırılamaz demiyorum, sadece işlemi zorlaştırıyorsunuz. Kırılamaz bir sistem yapılamaz fakat en azından lamerlerin önüne geçebilirsiniz.

T1mSaH · Answer

Session bilgilerini bahsettiginiz 3. taraf programlar ile degistiremezsiniz.
Bilgiler sunucuda standart olarak -sure belirtmediginiz takdirde- 24 dakika kadar saklanir.

oguzhanss · Answer

sitede herhangi bir açık yoksa standart kullanıcı oalrak giriş yapıp kendi sessionslarnı değiştirebilrimi?

Fertig · Answer

oguzhanss adlı üyeden alıntı:						mesajı görüntüle									sitede herhangi bir açık yoksa standart kullanıcı oalrak giriş yapıp kendi sessionslarnı değiştirebilrimi? 		Hayır.

T1mSaH · Answer

oguzhanss adlı üyeden alıntı:						mesajı görüntüle									sitede herhangi bir açık yoksa standart kullanıcı oalrak giriş yapıp kendi sessionslarnı değiştirebilrimi? 		Kullanici her giris yaptiginda random session atayabilirsin. Bu sessionu veritabanina kaydedersin. 
Session yerine veritabaninda dinamik bir tablo olusturup o kullaniciya ait anlik sessionlar tanimlayabilirsin. Veritabanindan yaparsin dogrulamalari. 
Boylece sunucu tarafinda guvenlik acigi endisen varsa problemin onune bu sekilde gecebilirsin.

oguzhanss · Answer

T1mSaH adlı üyeden alıntı:						mesajı görüntüle									Kullanici her giris yaptiginda random session atayabilirsin. Bu sessionu veritabanina kaydedersin.
Session yerine veritabaninda dinamik bir tablo olusturup o kullaniciya ait anlik sessionlar tanimlayabilirsin. Veritabanindan yaparsin dogrulamalari.
Boylece sunucu tarafinda guvenlik acigi endisen varsa problemin onune bu sekilde gecebilirsin. 		hocam yani şu şekil her giriş yapan kullanıcıya özel sadece 1 loginlik her loginde değişien özel sessionslar üretmemi kullancıının panelden yapacağı herhangi bir değişiklikte o tek loginlik sessionsu karşılaştırıp eğer doğruysa işlem yapmamı söylüyorsunuz

Hero · Answer

Cookieler user tarafında, sessionlar server tarafında muhafaza edilir. Sessionlara erişim / değişim sağlayan kod bloklarına dışarıdan erişilmedikçe bir problem olmayacaktır.

oguzhanss · Answer

T1mSaH adlı üyeden alıntı:						mesajı görüntüle									Kullanici her giris yaptiginda random session atayabilirsin. Bu sessionu veritabanina kaydedersin.
Session yerine veritabaninda dinamik bir tablo olusturup o kullaniciya ait anlik sessionlar tanimlayabilirsin. Veritabanindan yaparsin dogrulamalari.
Boylece sunucu tarafinda guvenlik acigi endisen varsa problemin onune bu sekilde gecebilirsin. 								Hero adlı üyeden alıntı:						mesajı görüntüle									Cookieler user tarafında, sessionlar server tarafında muhafaza edilir. Sessionlara erişim / değişim sağlayan kod bloklarına dışarıdan erişilmedikçe bir problem olmayacaktır. 		anladım hocam yani giriş yapıldıktan sonra sessionlar değiştirlemez doğrumuyum çünkü bakiye ve özel bilgileri tutuyorum

voL · Answer

Session içinde tarayıcı bilgileri ve buna ek ip bilgilerini de saklarsanız, bilgileri kontrol ederken farklı bi tarayıcı ve ip ile girilmişse sistemden atarsınız. Eğer 5 defa hatalı session sonrası ilgili kullanıcıyı doğrulamaya sokabilirsiniz. Doğrulama sonrası hesap aktif olur. Ya da hatalı girişe sahip olan tarayıcı ve bilgisayar kombinasyonu ile ip adresini engelleyebilirsiniz.

T1mSaH · Answer

oguzhanss adlı üyeden alıntı:						mesajı görüntüle									hocam yani şu şekil her giriş yapan kullanıcıya özel sadece 1 loginlik her loginde değişien özel sessionslar üretmemi kullancıının panelden yapacağı herhangi bir değişiklikte o tek loginlik sessionsu karşılaştırıp eğer doğruysa işlem yapmamı söylüyorsunuz 		Evet. Token key mantigi. 
Session tarafi guvenilir aslinda, dedigim yontemi uygulayabilirseniz biraz yavaslik hissedebilirsiniz tabi sunucu performansina gore degiskenlik gosterir bu.

Ticifast · Answer

şu videoya bi göz at isterseni belki yararı olur alternatif olarak

youtube.com/watch?v=FNoAcuoLt-w

iMiral · Answer

cookie veya session içeriğine güvenerek server side değişiklik yapmak mantıklı değil, dediğinize göre sessiondaki eposta adresine göre veri değişikliği yapılıyorsa ve kullanıcı doğrulaması yapılmıyorsa çok büyük bir sorun. tüm kontrolleri server tarafında gerçekleştirmeniz gerekiyor. Asla kullanıcıya güvenme politikasına göre hareket edin. Kullanıcı bakiyesini tutuyorum demişsiniz mesela, session bakiyesi değil sunucu tarafında çekilen bakiye ile kontrol etmelisiniz.