[Owasp-turkey] Php session id de yabanci karakterler

Volkan Altan volkanaltan at gmail.com
Thu Dec 13 17:16:25 UTC 2012


Merhaba,

Bu cevaplar arkadaşın sorusunun yanıtı değil.

Soru: session id nin doğruluğunu kontrol edeyim mi?

Ben gerek yok dedim (linux programlama) çünkü karakteri bozuk session id
gelince  php otomatik
Yeni session id üretiyor....
Ama bu cevap hatalı olabilir...

(Telefon)
13 Ara 2012 19:10 tarihinde "Deniz Cevik" <denizcev at gmail.com> yazdı:

> Merhaba,
>
> Detaylı hata mesajları uygulama hakkında uygulamanın işlevine ve
> fonksiyonlarına da bağlı olarak yol bilgisi, sql sorguları, hatanın
> neden kaynaklandığı vb pek çok önemli bilginin açığa çıkmasına neden
> olabilir. Örneğin senin örneğinde sessionid üretme mekanizması
> hakkında bazı bilgiler ortaya çıkıyor. Bu başka bir uygulamada tablo
> isimleri vb olarak ortaya çıkabilir.
>
> Bu duruma güvenlik açısından baktığın zaman bilgi açığa çıkarma
> tipinde bir risk oluşturur. Bu nedenle son kullanıcıya açılmış tüm
> uygulamalarda detaylı hata mesajlarının yayınlanmasının engellenmesi
> yararlı olur.
>
> Bildiğim kadarı ile php.ini içinde display_errors off yapman detaylı
> hataların ortaya çıkmasını engelleyecektir. bunun dışında zend
> kaynaklı hatalar varsa onun içinde zend ayarlarına bakman iyi
> olacaktır.
>
> ; display_errors
> ;   Default Value: On
> ;   Development Value: On
> ;   Production Value: Off
>
>
> Kolay Gelsin
>
> 2012/12/13 What you get is Not what you see <wyginwys at gmail.com>:
> >
> >
> >
> > 2012/12/13 Bedirhan Urgun <bedirhanurgun at gmail.com>
> >>
> >> Merhaba,
> >> Biraz gec bir mail olacak ama bence bu hatanin alinmasi sessionid
> >> degerinin degistirildigini (mesela session fixation saldiri denemesi)
> >> gosterecegi icin daha faydali gibi duruyor. Tabi eger durumu yanlis
> >> anlamadiysam.
> >>
> >
> > Hata mesajini almak faydali. Benim sordugum ise php tarafinda bunun icin
> bir
> > onlem almak gerekiyor mu?
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20121213/425c7ed1/attachment.html>


More information about the Owasp-turkey mailing list