[HaBo]

Dragon2003

Anzeige

Hallo erstmal *g*
Wie ist es möglich eine Session zu hacken und wie kann ich meine Seite davor schützen ?
Ich bin dabei einen Webshop zu progen und verwende Sessions.
Jetzt habe ich gelesen das Session auch nicht unbedingt sicher sind.
Wie kann ich meine session schützen und wie kommt ein hacker auf die sessions ?
Das einzige was ich dazu gehört habe ist das es wohl auch eine lücke gibt die man mit Telnet nutzen kann um sessions zu manipulieren.
Bitte helft mir.

P.s.: NEIN ich möchte nichts Illegales tun sonndern nur verstehen wie es geht um es abzuwehren.
;)

soox

bei einer session gibt es eine sogenannte session-id welche der client dazu benoetigt um sich 'auszuweisen'.

nun gibt es 2 verfahren um diese zu uebertragen

1) per link: --> unsicher, da viele leute ihre links via copy&paste in emails/messageboards/... verschicken
2) per cookies --> sollte verwendet werden

bei beiden moeglichkeiten kann man ohne probleme einbrechen, sofern man an die session-id gelangt!

zusaetzlich auf die ip zu schauen (--> alls anfragen zu dieser session muessen ueber die gleiche ip) waere zwar eine loesung. ein nachteil dieser loesung ist das nichtfunktionieren der session bei usern welche dynamisch ueber verschiedene proxys gehen.


--> heutzutage werden in den meisten faellen cookies verwendet. wenn noetig sollte man noch seinen ganzen traffic mit ssl verschluessln, was sicherlich zusaetzliche sicherheit bringt.

Dragon2003

Die IP variante scheiter ja leider schon an AOL da man da ja ständig eine neue IP bekommt.
Also muß man den trafic belauschen und andere SessionID´s abfangen um eine Session zu hacken ?
Ich dachte man kann die daten die in einer Session sind manipulieren.
Bsp.: User hat recht = 1 und ändert es auf recht = 2.
SSL soll eh eingesetzt werden (sobald ich das gelernt habe)

p-Logic

Wenn du die Daten in nen Cookie schreibst (z.B. recht = 1), dann kann es der Benutzer nach belieben verändern.
Die sichheitsrelevanten Sachen solltest du möglichst nur auf dem Server machen. Der User soll nur seine Session ID bekommen, mit der er sich identifiziert, den Rest macht der Server (anhand der SessionID hereusfinden, welche Rechte der User hat, etc.).

Dragon2003

Wenn ich ein
$_SESSION["userrecht"] = 1;
mache ist das ja nur auf dem server gespeichert.
Die session kann ich ja so konfigurieren das nur session cookie erlaubt ist.
Da wird ja aber nur die sessionid gespeichert.
Also kann der user nix ändern.

*Hoffe das stimmt so*

Ich habe aber gehört das man via Telnet die session auf dem Server manipulieren kann.
Angeblich soll es auch anderst noch möglich sein aber keiner sagt einem wie und was man dagegen tun kann.
Auser SSL.

soox

mit telnet kannst du nur sehr einfach http get requests zusammenbasteln.
--> man benoetigt dazu eine sessionid

Dragon2003

Kannst du mir auch verraten:
wie das geht?
wie ich mich schützen kann?
was man damit anrichten kann?

Ich denke bei einem shop sollte man schon eine gewisse sicherheit haben *g*

2Bios

https und längere/kompliziertere sessionids

Dragon2003

Was bringt eine längere/kompliziertere SID ?
Entweder es kann jemand auslesen oder er muß raten was bei einer normalen SID schon unmöglich ist.
(da gibt es auch eine rechnung zu)

Also https und es wird unmöglich ???
Ich dachte immer die SID MUß irgendwo stehn sei es in der URL/Link oder als cookie.
Das müßte man doch dann auch auslesen können.
Klar man kann keine Fremden SID´s via sniffer klauen aber die eigene hat man ja und kann damit ja das telnetteil füttern.

soox

laengere sid's....wenn du da was selber bastelst und nur 4 zeichen benutzt, ist es duchaus ratsam auf laengere umzusteigen.....wie lange eine sid ist, kann jeder selbst entscheiden.

klar muss die sid uebertragen werden, aber mit https wird das nicht in klartext (auch nicht der link und schon gar nicht die cookies) uebertragen --> du kannst sniffen solange du willst.

btw: sid's ueber links zu uebertragen sollte meiner meinung so oder so verboten werden.....es gibt genug daus, die links aus dem browser in der welt herum-mailen. ohne die sid von solchen links zu entfernen hat man ja genau das problem, dass die sid jemandem zugaenglich gemacht wird --> cookies verwenden (auch wenn das nicht ganz alle brwoser unterstuetzen)!!!!!

404

Ich hab bei meinem Session Script des ich in php geschreiben hab die Session ID zeitlich begrenzt, d.h. dass die Session ID nach z.B. 5 min ohne Aktionen (also wenn sich der User z.B. vom PC entfernt oder die Website verlässt, ohne sich abzumelden) ungültig wird. :O
Des hilft auch gegen Idioten, die die links aus dem browser in der welt herum-mailen ohne die sid von solchen links zu entfernen.
Auf jedenfall solltest du noch ne Prüfung einbauen, ob Cookies akzeptiert werden - so wird nur im Notfall die SessionID per URL weitergegeben.

cu

__________________
Major Fault, General Error and Colonel Panic came together to celebrate timeout.

soox

meiner meinung nach ein wenig kurz, da wenn man z.b. bei nem webmail ein groesseres attachement von nem mail anschaut die 5 min bereits durch sind.....die idee einer zeitlichen idle beschraenkung kann ich sonst nur unerstuetzen.