[Owasp-turkey] Php session id de yabanci karakterler

Deniz Cevik denizcev at gmail.com
Thu Dec 13 17:09:27 UTC 2012


Merhaba,

Detaylı hata mesajları uygulama hakkında uygulamanın işlevine ve
fonksiyonlarına da bağlı olarak yol bilgisi, sql sorguları, hatanın
neden kaynaklandığı vb pek çok önemli bilginin açığa çıkmasına neden
olabilir. Örneğin senin örneğinde sessionid üretme mekanizması
hakkında bazı bilgiler ortaya çıkıyor. Bu başka bir uygulamada tablo
isimleri vb olarak ortaya çıkabilir.

Bu duruma güvenlik açısından baktığın zaman bilgi açığa çıkarma
tipinde bir risk oluşturur. Bu nedenle son kullanıcıya açılmış tüm
uygulamalarda detaylı hata mesajlarının yayınlanmasının engellenmesi
yararlı olur.

Bildiğim kadarı ile php.ini içinde display_errors off yapman detaylı
hataların ortaya çıkmasını engelleyecektir. bunun dışında zend
kaynaklı hatalar varsa onun içinde zend ayarlarına bakman iyi
olacaktır.

; display_errors
;   Default Value: On
;   Development Value: On
;   Production Value: Off


Kolay Gelsin

2012/12/13 What you get is Not what you see <wyginwys at gmail.com>:
>
>
>
> 2012/12/13 Bedirhan Urgun <bedirhanurgun at gmail.com>
>>
>> Merhaba,
>> Biraz gec bir mail olacak ama bence bu hatanin alinmasi sessionid
>> degerinin degistirildigini (mesela session fixation saldiri denemesi)
>> gosterecegi icin daha faydali gibi duruyor. Tabi eger durumu yanlis
>> anlamadiysam.
>>
>
> Hata mesajini almak faydali. Benim sordugum ise php tarafinda bunun icin bir
> onlem almak gerekiyor mu?
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>


More information about the Owasp-turkey mailing list