Session Hijacking

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Low Code Developer voor o.a. overheidsprojecten!

Bedrijfsomschrijving Wil jij ook behoren tot de specialist in Low Code? Dan zou ik zeker aanraden om verder te lezen. Deze organisatie is ooit opgericht door twee studenten en is inmiddels uitgegroeid tot een serieuze werkgever met een groot aanzien op Low Code projecten. De sfeer is echter niet veranderd, er heerst een informele sfeer met een open deuren beleid, en hierin mag de eigen bar natuurlijk niet ontbreken. Momenteel maakt deze organisatie een flinke groei door en hier kan jij natuurlijk niet bij ontbreken. Daarom ben ik op zoek naar Low Code Developers met een degelijke technische achtergrond. Kennis

Bekijk vacature »

.NET Developer

Dit ga je doen Tot jouw takenpakket behoort onder andere: Webapplicaties ontwerpen, bouwen, testen en implementeren in .NET/C#.; Ontwikkelen, implementeren en beheren van maatwerkapplicaties; Onderhouden en beheren van standaardpakketten; Onderzoeken en beoordelen van nieuwe technieken. Hier ga je werken Als .NET ontwikkelaar kom je te werken bij een grote semioverheidsinstelling in Nijmegen. De organisatie staat garant voor het leveren van onderwijs en les- en onderzoeksmateriaal voor duizenden betrokkenen. De organisatie wil bijdragen aan een gezonde, vrije wereld met gelijke kansen voor iedereen. Binnen de teams hangt een open en collegiale cultuur met veel aandacht voor een prettige en sociale werksfeer.

Bekijk vacature »

Outsystems Developer Junior

Dit ga je doen Bouwen aan nieuwe en innovatieve applicaties; Maken van koppelingen tussen Outsystems en het bestaande applicatielandschap; Troubleshooting op bestaande software. Hier ga je werken De organisatie is internationale speler binnen de bouwbranche en richt zich op de infrastructuur, zowel boven als onder de grond. Ze zijn ruim 1100 man groot en maken op IT vlak een mooie groei door. Als junior Outsystems Developer kom je te werken op een IT-afdeling van zo'n 25 man groot. Een aantal jaar geleden hebben ze de keuze gemaakt om zich meer te gaan richten op ontwikkeling en door de groei van

Bekijk vacature »

Junior .NET developer

Functie Als junior .NET ontwikkelaar start jij in een ontwikkelteam met 7 .NET developers. In ons team werken er drie senior .NET developer, twee medior .NET developers en twee junior .NET developers. Er is dan ook genoeg senioriteit in ons team om jou te kunnen bieden wat jij nodig hebt! Wij werken in scrum en hebben drie wekelijkste sprints. Daarnaast doen wij minimaal vier keer per jaar een release. Ons platform is ontzettend complex en groot. Het is dan ook in het begin belangrijk dat jij de processen gaat begrijpen. Jij krijgt dan ook een cursus om beter te begrijpen

Bekijk vacature »

Senior Front-end developer

Functie Als front-end developer ga je aan de slag voor verschillende klanten, waarbij veel rekening wordt gehouden met waar je woont (dit is altijd binnen het uur), en word er gezocht naar een organisatie die past bij jou. Zowel qua persoonlijke ambities als de technische aansluiting. De opdrachten duren gemiddeld 1 à 2 jaar maar dit hangt ook af van je wensen. Je werkt in een teamverband voor een klant en zult nauw samenwerken met zowel eigen collega’s als die bij de klant werkzaam zijn. Ze zijn op zoek naar een technische front-end developer die ruime ervaring heeft in één

Bekijk vacature »

Junior Back end developer PHP, Symfony

Functie Wij hebben onlangs onze eerste collega’s aangenomen, waardoor ons development team momenteel uit 4 personen bestaat. We bouwen onze software op basis van een PHP-framework (wat op zichzelf een Symfony framework is). Qua ontwikkeling focussen wij ons op 3 focus velden; – API-ontwikkeling/ Component Creatie – Implementatie – Framework ontwikkeling; het toevoegen van nieuwe functionaliteit of interne microservices Onze senior software engineer focust zich momenteel op de laatste twee punten, maar wij komen handen te kort op het eerste veld. Daarom zijn wij op zoek naar een enthousiaste junior software engineer die graag de kneepjes van het vak wil

Bekijk vacature »

Back-end Developer

Functieomschrijving Heb jij kort geleden je HBO ICT Informatica diploma in ontvangst mogen nemen? Of heb je een aantal jaar ervaring als Software Developer en ben je klaar voor een nieuw hoofdstuk in jouw carrière? Voor een gewaardeerde werkgever in de regio van Goirle zijn wij op zoek naar een junior/medior Back-end Developer met affiniteit met MS Acess. Samen met een vooruitstrevend team ben je verantwoordelijk voor het ontwikkelen van maatwerk software voor hun klanten. Je hebt kennis of ervaring van SQL en affiniteit met MS Acess. Je bent klantvriendelijk en flexibel ingesteld en vindt het leuk om klanten te

Bekijk vacature »

Back end developer PHP, Laravel

Functie Jij komt te werken in ons webdevelopment team, wat bestaat uit 8 ervaren collega’s. Hiernaast hebben wij nog een team van 2 ontwikkelaars die aan native applicaties werken. Bij ons zijn er korte lijntjes en er hangt een gezellige informele werksfeer. Maar het belangrijkste is natuurlijk dat je aan geweldige applicaties zult gaan werken! Wij willen als organisatie niet te groot worden, we willen gewoon toffe dingen maken. Onze techstack bestaat momenteel uit: PHP, Laravel, Javascript, Typescript, Git, MySQL, Java, Kotlin, Xamarin. Samen met ons ga jij zorgen dat we puik werk leveren! Waarbij je bij elke fase in

Bekijk vacature »

Senior Front-End Developer

As a Senior Front-end Developer you maintain the balance between creativity and functionality for our webshop, and you coach your fellow developers. How do I become a Senior Front-End Developer at Coolblue? As a Front-end Developer you work on the user-friendliness of our webshop for millions of customers. You enjoy working with the UX Designer to pick up stories. You get energy from coming up with creative solutions and are happy to present this within the team. You are also proud of your work and welcome all feedback. Would you also like to become a Senior Front-End Developer at Coolblue?

Bekijk vacature »

Medior PHP Developer

Functie omschrijving Ben jij een getalenteerde PHP Developer en aan de slag in een gemotiveerd team? Lees dan snel verder! Voor onze opdrachtgever in de omgeving van Valkenswaard zijn we op zoek naar een ervaren PHP developer. Jij gaat hier zorg dragen voor het optimaliseren en up-to-date houden van de bestaande applicaties. Je werkt verder aan de applicaties die jij verder ontwikkelt. Dit doe je voornamelijk met PHP en MySQL. Verder ga je je bezig houden met: Het uitbouwen van het E-commerce software platform. Deelnemen aan overleggen met het team. Het ondersteunen van jouw team developers (3 man) en helpen

Bekijk vacature »

Full Stack Developer

Ben jij een kei van een full-stack developer? Heb je ambitie om te groeien en jezelf te ontwikkelen binnen een ambitieus bedrijf? Gaat jouw hart sneller kloppen van transpilers of frameworks zoals Angular, Vue of React? Dan ben jij de persoon die wij zoeken! Voor onze opdrachtgever zijn wij op zoek naar een full-stack developer om onderdeel te zijn van een team dat bestaat uit gedreven developers. Ieders met hun eigen specialiteiten en kennis van de projecten en behoeften vanuit de product owners. We zoeken iemand die met zijn/haar huidige competenties en domeinen dit team wil begeleiden, stimuleren en tevens

Bekijk vacature »

Front end ontwikkelaar

Functie Het huidige team bestaat uit momenteel uit 5 back end developers verdeeld van senior tot junior. Omdat de gehele front end van applicaties anders gaan insteken zijn ze op zoek naar een ervaren Front end developer die hen kan helpen de juiste keuzes te maken. Je krijgt veel vrijheid om te bepalen hoe je dit wilt ontwikkelen en vrijheid in welke techniek je hiervoor wilt gebruiken. Je zult je dus bezighouden met architectuur, documentatie en natuurlijk ontwikkeling van nieuwe functionaliteiten binnen de verschillende applicaties. natuurlijk heb jij ook mogelijkheden om te sparren binnen het team, maar ze gaan uit

Bekijk vacature »

Oracle APEX developer

Wat je gaat doen: Als Oracle APEX ontwikkelaar bij DPA werk je samen met collega’s aan de meest interessante opdrachten. Je zult je ervaring met SQL, PL/SQL, JavaScript, HTML en CSS inzetten om wensen van opdrachtgevers te vertalen naar technische oplossingen. Je werk is heel afwisselend, omdat DPA zich niet beperkt tot een specifieke branche. Zo ben je de ene keer bezig binnen de zorgsector, de andere keer is dit bij de overheid. Wat we vragen: Klinkt goed? Voor deze functie breng je het volgende mee: Je hebt een hbo- of universitaire opleiding afgerond Je hebt 2 tot 5 jaar

Bekijk vacature »

Front-end developer

Functie Als front-end developer kom je te werken in een team van 30 gedetacheerde, en het team is momenteel flink aan het groeien. Je hebt ervaring met het bouwen van complexe bedrijfsapplicaties waar je gebruik maakt van de nieuwste technologieën waarmee jij elke klant omver blaast. Het gaat om uitdagende projecten met een gemiddelde doorlooptijd van 2 jaar. Hierdoor heb jij echt de volledige focus op een project en kun je flinke impact maken. Het team zit boordevol met ervaren developers die samen dezelfde ambitie delen. Aan de hand van opleidingen en trainingen kun je certificaten halen in jouw expertise

Bekijk vacature »

C# developer

Functie Als ervaren Software Engineer wordt jij verantwoordelijk voor het bedenken en ontwikkelen van technische (maatwerk) oplossingen voor onze klanten en dit samen met de klant af te stemmen. Jij wordt o.a. verantwoordelijk voor de doorontwikkeling het software pakket welke voor ons enorm belangrijk is. Dit pakket zorgt er namelijk voor dat wij complete productielijnen kunnen aansturen en monitoren. Daarnaast heb jij actief contact met onze hoofdvestiging om het software achter een van onze systemen te verbeteren en te herschrijven. Momenteel zijn onze C# applicaties geschreven met o.a. Winforms. Echter hebben wij de actieve ambitie om dit te gaan herschrijven

Bekijk vacature »
Dennis WhoCares

Dennis WhoCares

23/01/2013 14:48:26
Quote Anchor link
Ik maak hiervoor eventjes een nieuwe post aan, omdat het eigenlijk beetje offtopic was.
___
Session hijacking is toch wel interessant.
Ikzelf maak gebruik van mn database, waar mijn sessies opgeslagen worden
(unieke ID met username en ip adress van de gebruiker)
Vervolgens wordt t ip gecontrolleerd en de sessie.
Is dit te hijacken ?
Chris NVT op 23/01/2013 10:39:18:
@Dennis,
Wordt dat per sessie gedaan? Of eenmalig?

Als het eenmalig is kan de gebruiker dus nooit via een andere omgeving inloggen, aangezien hij daar een ander ip krijgt.


Zodra een gebruiker inlogd, wordt er een nieuwe sessie gemaakt, met huidige ip en huidige unieke sessie code. Deze sessie is voor 30 minuten actief, na 30 minuten inactiviteit wordt is deze verlopen.
Soortement van cookie met timeout.
______
Nou is mijn vraag als volgt: In laatste posts van mij gaf ik aan dat ik met een gallery bezig ben. In deze gallery kunnen mensen albums maken, en foto's uploaden naar database. Foto's en albums kunnen worden versleuteld met een wachtwoord. Dus voor buitenstaanders moeten ze eerst een wachtwoord invullen voordat ze deze kunnen bekijken.

Nou haal ik in een php script de image uit het database.
Is het veilig om sessie te gebruiken om de ingevoerde wachtwoord mee te geven, zodat ik vanuit de image.php kan controlleren of het wachtwoord wel klopt, bij de gegeven gallery_id ?
Ik zit hierover te tobben
Gewijzigd op 23/01/2013 14:52:09 door Dennis WhoCares
 
PHP hulp

PHP hulp

29/03/2024 16:06:05
 
Erwin H

Erwin H

23/01/2013 14:53:49
Quote Anchor link
Probleem met het opslaan van ip adres is dat je mobiele gebruikers regelmatig opnieuw zullen moeten inloggen. Die hebben namelijk door roaming niet altijd hetzelfde ip adres. Beter is om gegevens van de browser op te slaan (zie browser fingerprinting). Als iemand opeens met een ander browser, dan weet je dat het niet dezelfde persoon is. Cookies zijn namelijk per browser opgeslagen, die kan je niet even overzetten.
 
Dennis WhoCares

Dennis WhoCares

23/01/2013 15:06:35
Quote Anchor link
Worden cookies niet lokaal opgeslagen ? Daarom gebruik ik sessie, zodat een gebruiker deze niet zelf kan aanpassen?
Ik denk dat ik aan browseridentificatie beter af ben dan met ip-adres, daar heb je zeker gelijk in :) Mooie tip

Wat denk je van de veiligheid van mijn image? Hoe ken ik dat t beste oplossen ?
 
- SanThe -

- SanThe -

23/01/2013 15:07:54
Quote Anchor link
Nooit wachtwoorden in sessions en/of cookies zetten.
Dat is nergens voor nodig.
 
Dennis WhoCares

Dennis WhoCares

23/01/2013 15:14:09
Quote Anchor link
- SanThe - op 23/01/2013 15:07:54:
Nooit wachtwoorden in sessions en/of cookies zetten.
Dat is nergens voor nodig.


Dus t gehashde wachtwoord kan ik beter meegeven in de url van de image?
<img src='img.php?id=12&pass=---
 
Erwin H

Erwin H

23/01/2013 15:17:40
Quote Anchor link
Dennis WhoCares op 23/01/2013 15:06:35:
Worden cookies niet lokaal opgeslagen ? Daarom gebruik ik sessie, zodat een gebruiker deze niet zelf kan aanpassen?

Maar hoe denk je dat je sessie weet welke gebruiker je nu aan de lijn hebt? Door een sessie cookie op de browser van de gebruiker. Tenzij je er zelf een methode voor hebt geschreven....
 
Dennis WhoCares

Dennis WhoCares

23/01/2013 15:22:34
Quote Anchor link
Erwin H op 23/01/2013 15:17:40:
Maar hoe denk je dat je sessie weet welke gebruiker je nu aan de lijn hebt? Door een sessie cookie op de browser van de gebruiker. Tenzij je er zelf een methode voor hebt geschreven....


Wat bedoel je hier precies mee ?
Elke keer zodra een gebruiker pagina opent of refreshed wordt mijn controle opnieuw uitgevoerd. Klopt de verhouding niet met wat in database staat, is deze sessie weg gehaald en zal de gebruiker opnieuw moeten inloggen. Zodra gebruiker uitlogt, of browser sluit, gaat deze sessie ook verloren
 
Erwin H

Erwin H

23/01/2013 15:34:18
Quote Anchor link
Als jij een sessie start, dan installeert php al direct een cookie op de pc van de gebruiker. In dat cookie staat het sessie id. Bij een volgende aanroep controleert php weer of er een cookie met een sessie id is. Zo ja, dan wordt dat gebruikt, zo nee dan wordt een nieuwe aangemaakt.

Dat is dus ook direct het gevaar. Want een hacker kan dus het verkeer tussen browser en server afluisteren en dat sessie id uitlezen om op die manier een cookie op zijn eigen pc te zetten met dat sessie id.
(of via XSS zoals Kees in het andere topic uitlegt)

Je controle, op ip adres, is hier op zich wel afdoende voor (tenzij de hacker ook het ip adres spooft overigens), maar geeft dus een probleem voor mobiele gebruikers. Die moeten ook telkens opnieuw inloggen.
Gewijzigd op 23/01/2013 15:35:59 door Erwin H
 
Dennis WhoCares

Dennis WhoCares

23/01/2013 15:49:51
Quote Anchor link
Hmmmz ok, ik wist eigenlijk niet dat de browser een cookie maakt met sessie id.
Maar affijn, bedankt voor de info :)
 
TJVB tvb

TJVB tvb

23/01/2013 15:53:55
Quote Anchor link
Erwin H op 23/01/2013 15:34:18:
Je controle, op ip adres, is hier op zich wel afdoende voor (tenzij de hacker ook het ip adres spooft overigens), maar geeft dus een probleem voor mobiele gebruikers. Die moeten ook telkens opnieuw inloggen.


Dit is normaal gesproken alleen een probleem als een mobiele gebruiker zich ook verplaatst (van mast wisselt) Blijft die zitten om je website te bekijken dan zal zijn/haar ip niet wijzigen.
 
Erwin H

Erwin H

23/01/2013 16:02:44
Quote Anchor link
Dennis WhoCares op 23/01/2013 15:49:51:
Hmmmz ok, ik wist eigenlijk niet dat de browser een cookie maakt met sessie id.

Om het correct te zeggen, de server instrueert de browser om dat te doen. Maar ja, dat klopt. Kijk maar eens naar je eigen website, ook als het op localhost draait, dan zal je een cookie aantreffen met als naam PHPSESSID waarin het sessie id zit.
TJVB tvb op 23/01/2013 15:53:55:
Dit is normaal gesproken alleen een probleem als een mobiele gebruiker zich ook verplaatst (van mast wisselt) Blijft die zitten om je website te bekijken dan zal zijn/haar ip niet wijzigen.

Helemaal gelijk uiteraard.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.