[Owasp-turkey] Php session id de yabanci karakterler

Deniz Cevik denizcev at gmail.com
Thu Dec 13 18:14:13 UTC 2012


ortadan girmeden ilk maili okuyunca session id'nin doğru olmaması ile
ilgili hataların loglara düşmemesi isteniyor diye anlıyorum :)

Eğer üretilen hata için default bir severity belirlenmemiş ise veya
sizin düşünüğünüzden daha yüksek bir severity'e sahip ise, bu durumda
sizin sessionid validaditon için bir kontrol koyup, hatalı olduğunu
belirlediğiniz zaman oluşan hataya severity atamanız (E_NOTICE,
E_WARNING vb) ve şu severity'dekileri log'a yazma gibi bir şey demeniz
gerekebilir.

örneğin NOTICE tipindekileri error logda görmek istmiyor iseniz
php.ini de aşağıdaki gibi bir şey olabilir.

error_reporting = E_ALL & ~E_NOTICE

eğer session fixation ile ilgili bir kaygı ise belirttiğiniz, sadece
valid olmayan sessionid leri değil, uygulama tarafından üretilmiş ve
kullanıcı tarafından geri yollanan geçerli sesion'larında
kullanılmadığına dair bir kontrol yapmalısınız. Tabi login sonrası
yeni bir session id atamak ta bu konudaki riskleri minimize eder.

2012/12/13 Volkan Altan <volkanaltan at gmail.com>:
> Merhaba,
>
> Bu cevaplar arkadaşın sorusunun yanıtı değil.
>
> Soru: session id nin doğruluğunu kontrol edeyim mi?
>
> Ben gerek yok dedim (linux programlama) çünkü karakteri bozuk session id
> gelince  php otomatik
> Yeni session id üretiyor....
> Ama bu cevap hatalı olabilir...
>
> (Telefon)
>
> 13 Ara 2012 19:10 tarihinde "Deniz Cevik" <denizcev at gmail.com> yazdı:
>
>> Merhaba,
>>
>> Detaylı hata mesajları uygulama hakkında uygulamanın işlevine ve
>> fonksiyonlarına da bağlı olarak yol bilgisi, sql sorguları, hatanın
>> neden kaynaklandığı vb pek çok önemli bilginin açığa çıkmasına neden
>> olabilir. Örneğin senin örneğinde sessionid üretme mekanizması
>> hakkında bazı bilgiler ortaya çıkıyor. Bu başka bir uygulamada tablo
>> isimleri vb olarak ortaya çıkabilir.
>>
>> Bu duruma güvenlik açısından baktığın zaman bilgi açığa çıkarma
>> tipinde bir risk oluşturur. Bu nedenle son kullanıcıya açılmış tüm
>> uygulamalarda detaylı hata mesajlarının yayınlanmasının engellenmesi
>> yararlı olur.
>>
>> Bildiğim kadarı ile php.ini içinde display_errors off yapman detaylı
>> hataların ortaya çıkmasını engelleyecektir. bunun dışında zend
>> kaynaklı hatalar varsa onun içinde zend ayarlarına bakman iyi
>> olacaktır.
>>
>> ; display_errors
>> ;   Default Value: On
>> ;   Development Value: On
>> ;   Production Value: Off
>>
>>
>> Kolay Gelsin
>>
>> 2012/12/13 What you get is Not what you see <wyginwys at gmail.com>:
>> >
>> >
>> >
>> > 2012/12/13 Bedirhan Urgun <bedirhanurgun at gmail.com>
>> >>
>> >> Merhaba,
>> >> Biraz gec bir mail olacak ama bence bu hatanin alinmasi sessionid
>> >> degerinin degistirildigini (mesela session fixation saldiri denemesi)
>> >> gosterecegi icin daha faydali gibi duruyor. Tabi eger durumu yanlis
>> >> anlamadiysam.
>> >>
>> >
>> > Hata mesajini almak faydali. Benim sordugum ise php tarafinda bunun icin
>> > bir
>> > onlem almak gerekiyor mu?
>> >
>> > _______________________________________________
>> > Owasp-turkey mailing list
>> > Owasp-turkey at lists.owasp.org
>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>> >
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>


More information about the Owasp-turkey mailing list