[Owasp-turkey] Php session id de yabanci karakterler

Volkan Altan volkanaltan at gmail.com
Thu Dec 13 18:19:26 UTC 2012


İlk cevap çok bilgilendiriciydi, buda çok iyi oldu. Teşekkürler :)

Volkan Altan
http://volkanaltan.com/
İyi  Çalışmalar.



2012/12/13 Deniz Cevik <denizcev at gmail.com>

> ortadan girmeden ilk maili okuyunca session id'nin doğru olmaması ile
> ilgili hataların loglara düşmemesi isteniyor diye anlıyorum :)
>
> Eğer üretilen hata için default bir severity belirlenmemiş ise veya
> sizin düşünüğünüzden daha yüksek bir severity'e sahip ise, bu durumda
> sizin sessionid validaditon için bir kontrol koyup, hatalı olduğunu
> belirlediğiniz zaman oluşan hataya severity atamanız (E_NOTICE,
> E_WARNING vb) ve şu severity'dekileri log'a yazma gibi bir şey demeniz
> gerekebilir.
>
> örneğin NOTICE tipindekileri error logda görmek istmiyor iseniz
> php.ini de aşağıdaki gibi bir şey olabilir.
>
> error_reporting = E_ALL & ~E_NOTICE
>
> eğer session fixation ile ilgili bir kaygı ise belirttiğiniz, sadece
> valid olmayan sessionid leri değil, uygulama tarafından üretilmiş ve
> kullanıcı tarafından geri yollanan geçerli sesion'larında
> kullanılmadığına dair bir kontrol yapmalısınız. Tabi login sonrası
> yeni bir session id atamak ta bu konudaki riskleri minimize eder.
>
> 2012/12/13 Volkan Altan <volkanaltan at gmail.com>:
> > Merhaba,
> >
> > Bu cevaplar arkadaşın sorusunun yanıtı değil.
> >
> > Soru: session id nin doğruluğunu kontrol edeyim mi?
> >
> > Ben gerek yok dedim (linux programlama) çünkü karakteri bozuk session id
> > gelince  php otomatik
> > Yeni session id üretiyor....
> > Ama bu cevap hatalı olabilir...
> >
> > (Telefon)
> >
> > 13 Ara 2012 19:10 tarihinde "Deniz Cevik" <denizcev at gmail.com> yazdı:
> >
> >> Merhaba,
> >>
> >> Detaylı hata mesajları uygulama hakkında uygulamanın işlevine ve
> >> fonksiyonlarına da bağlı olarak yol bilgisi, sql sorguları, hatanın
> >> neden kaynaklandığı vb pek çok önemli bilginin açığa çıkmasına neden
> >> olabilir. Örneğin senin örneğinde sessionid üretme mekanizması
> >> hakkında bazı bilgiler ortaya çıkıyor. Bu başka bir uygulamada tablo
> >> isimleri vb olarak ortaya çıkabilir.
> >>
> >> Bu duruma güvenlik açısından baktığın zaman bilgi açığa çıkarma
> >> tipinde bir risk oluşturur. Bu nedenle son kullanıcıya açılmış tüm
> >> uygulamalarda detaylı hata mesajlarının yayınlanmasının engellenmesi
> >> yararlı olur.
> >>
> >> Bildiğim kadarı ile php.ini içinde display_errors off yapman detaylı
> >> hataların ortaya çıkmasını engelleyecektir. bunun dışında zend
> >> kaynaklı hatalar varsa onun içinde zend ayarlarına bakman iyi
> >> olacaktır.
> >>
> >> ; display_errors
> >> ;   Default Value: On
> >> ;   Development Value: On
> >> ;   Production Value: Off
> >>
> >>
> >> Kolay Gelsin
> >>
> >> 2012/12/13 What you get is Not what you see <wyginwys at gmail.com>:
> >> >
> >> >
> >> >
> >> > 2012/12/13 Bedirhan Urgun <bedirhanurgun at gmail.com>
> >> >>
> >> >> Merhaba,
> >> >> Biraz gec bir mail olacak ama bence bu hatanin alinmasi sessionid
> >> >> degerinin degistirildigini (mesela session fixation saldiri denemesi)
> >> >> gosterecegi icin daha faydali gibi duruyor. Tabi eger durumu yanlis
> >> >> anlamadiysam.
> >> >>
> >> >
> >> > Hata mesajini almak faydali. Benim sordugum ise php tarafinda bunun
> icin
> >> > bir
> >> > onlem almak gerekiyor mu?
> >> >
> >> > _______________________________________________
> >> > Owasp-turkey mailing list
> >> > Owasp-turkey at lists.owasp.org
> >> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >> >
> >> _______________________________________________
> >> Owasp-turkey mailing list
> >> Owasp-turkey at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20121213/fb4d1782/attachment.html>


More information about the Owasp-turkey mailing list