Session hijacking

Door Shiver Ness op 06-04-2008 10:30

2.183 views

Hallo iedereen, ik heb net dit scriptje gemaakt, alleen ik weet niet of het werkt tegen session hijacking. Kunnen jullie mij dat vertellen? De session waardes worden geregistreerd bij het inloggen.

<?php
if(isset($_SESSION['ip']) AND $_SESSION['ip'] != $_SERVER['REMOTE_ADDR']){ die; }
if(isset($_SESSION['browser']) AND $_SESSION['browser'] != $_SERVER['HTTP_USER_AGENT']){ die; }
if(isset($_SESSION['port']) AND $_SESSION['port'] != $_SERVER['REMOTE_PORT']){ die; }
?>

Overigens, heeft iemand een manier om dat uit te proberen? Met vriendelijke groet, Wessel Hoff

Tom K

06-04-2008 10:32

$_SESSION'S zijn niet te hacken, wel het ip-adres, dit kun je veranderen via een proxy

Shiver Ness

06-04-2008 10:35

Ik denk niet dat je het helemaal begrijpt. De $_SESSION's zijn uiteraard de waardes van degene die gehackt wordt, na het inloggen worden die meteen geregistreerd, als de session wordt gehijackt, overgenomen wordt dus, zijn de waardes van de vorige session gebruiker er nog en die komen dan waarschijnlijk niet overeen met de huidige session gebruiker, de $_SERVER gegevens dus.

Christiaan Baartse

06-04-2008 10:57

Session hijacking? Of bedoel je soms Session fixation?
Belangrijkste dingen waar je op moet letten is, zodra iemand inlogt of van rol wisselt altijd even session_regenerate_id aanroepen.

Meer over Session fixation, na een simpel googeltje http://shiflett.org/articles/session-fixation

Jelmer -

06-04-2008 10:59

http://www.phphulp.nl/forum/showtopic.php?cat=6&id=44765

Reageren

Inloggen om te reageren