דרוש קצת הסבר על סאשן - הוסטס

tal13579 · 12-10-09, 18:38

1. זה נשמר בשרת או אצל הלקוח?
2. יש דרך לזייף את זה?
תודה רבה.

Shay Ben Moshe · 12-10-09, 19:59

אני לא כל כך בטוח במה שאני אומר אבל נדמה לי שאני צודק.
1. אם אינני טועה יש לsession id מסויים שנשמר בשרת, אבל הנתונים אצל הגולש.
2. עד כמה שזכור לי יש דרכים די מורכבות, אבל כן.
חכה לעוד תשובות.

אדיר · 13-10-09, 02:58

המידע עצמו נשמר בשרת,
מה שנשמר אצל הלקוח זה ה- session_id,
ככה השרת יודע איזה סיישן שייך למי.

לזייף מה? את ה- session_id ניתן לשנות כן.
פשוט תשנה את הערך השמור בעוגיה שלו (כברירת מחדל היא נקראת PHPSESSID).

Hanan · 13-10-09, 12:32

חשוב לציין שה Session נשמר עד שהלקוח סוגר את הדפדפן... זה אומר להבדיל מעוגיות שהם נשמרות על מחשב הגולש ובכל רגע נתון שהוא חוזר המערכת בעצם מזהה אותו "כמובן כל עוד הוא לא פירמט את המחשב או מחק קוקיז".
ו Session זה נמחק ברגע שהוא סגר את הדפדפן.. אבל, אם הוא באותו דפדפן נכנס לאתר שלך וגלש באתרים אחרים וחזר שוב, ה Session עדיין תקף.

Shay Ben Moshe · 13-10-09, 15:06

רגע אז מה שאמרתי זה בעצם הפוך ממה שבפועל כן? הID אצל הגולש והנתונים על השרת? זה באמת נשמע קצת יותר הגיוני P:
אפשרי לגנוב SESSIONID של מישהו וככה לגנוב בעצם את הפרטים שלו?

אדיר · 13-10-09, 15:30

כן, אפשר לקחת מגולש מסויים את ה- SID שלו (או לחילופין לקבוע לו SID ידוע מראש),
להזדהות מול השרת עם ה- SID הזה ובכך לקבל גישה לנתונים השייכים לאותו סיישן, השייך לאותו גולש.

כל זה כמובן במערכות פגיעות (הן מצד השרת והן מצד מערכת האתר), זה דבר שאפשר לאבטח מפניו.
אתה מוזמן לקרוא על Session Hijacking.

tal13579 · 13-10-09, 17:04

תודה לכולם.

12-10-09, 18:38	# 1
tal13579 חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2008 מיקום: ישראל גיל: 33 הודעות: 154	דרוש קצת הסבר על סאשן 1. זה נשמר בשרת או אצל הלקוח? 2. יש דרך לזייף את זה? תודה רבה. __________________ סיכומים אני מחפש סיכומים במגוון נושאים כמו תנ"ך ספרות והיסטוריה, איפה אני יכול למצוא סיכומים? כאן סיכומים.

12-10-09, 19:59	# 2
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	אני לא כל כך בטוח במה שאני אומר אבל נדמה לי שאני צודק. 1. אם אינני טועה יש לsession id מסויים שנשמר בשרת, אבל הנתונים אצל הגולש. 2. עד כמה שזכור לי יש דרכים די מורכבות, אבל כן. חכה לעוד תשובות. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

13-10-09, 02:58	# 3
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	המידע עצמו נשמר בשרת, מה שנשמר אצל הלקוח זה ה- session_id, ככה השרת יודע איזה סיישן שייך למי. לזייף מה? את ה- session_id ניתן לשנות כן. פשוט תשנה את הערך השמור בעוגיה שלו (כברירת מחדל היא נקראת PHPSESSID). __________________ LinkedIn \| אני, אדיר \| העלאת תמונות

13-10-09, 12:32	# 4
Hanan משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Sep 2006 גיל: 38 הודעות: 841	חשוב לציין שה Session נשמר עד שהלקוח סוגר את הדפדפן... זה אומר להבדיל מעוגיות שהם נשמרות על מחשב הגולש ובכל רגע נתון שהוא חוזר המערכת בעצם מזהה אותו "כמובן כל עוד הוא לא פירמט את המחשב או מחק קוקיז". ו Session זה נמחק ברגע שהוא סגר את הדפדפן.. אבל, אם הוא באותו דפדפן נכנס לאתר שלך וגלש באתרים אחרים וחזר שוב, ה Session עדיין תקף. __________________ פרוייקטים: חדשות, קייטרינג, מילים לשירים, זר מתוק בניית אתרים - Wise Group Media LTD

13-10-09, 15:06	# 5
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	רגע אז מה שאמרתי זה בעצם הפוך ממה שבפועל כן? הID אצל הגולש והנתונים על השרת? זה באמת נשמע קצת יותר הגיוני P: אפשרי לגנוב SESSIONID של מישהו וככה לגנוב בעצם את הפרטים שלו? __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

13-10-09, 15:30	# 6
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	כן, אפשר לקחת מגולש מסויים את ה- SID שלו (או לחילופין לקבוע לו SID ידוע מראש), להזדהות מול השרת עם ה- SID הזה ובכך לקבל גישה לנתונים השייכים לאותו סיישן, השייך לאותו גולש. כל זה כמובן במערכות פגיעות (הן מצד השרת והן מצד מערכת האתר), זה דבר שאפשר לאבטח מפניו. אתה מוזמן לקרוא על Session Hijacking. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות Last edited by אדיר; 13-10-09 at 15:32..

13-10-09, 17:04	# 7
tal13579 חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2008 מיקום: ישראל גיל: 33 הודעות: 154	תודה לכולם. __________________ סיכומים אני מחפש סיכומים במגוון נושאים כמו תנ"ך ספרות והיסטוריה, איפה אני יכול למצוא סיכומים? כאן סיכומים.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)