[Owasp-turkey] Php session id de yabanci karakterler

Deniz Cevik denizcev at gmail.com
Fri Dec 14 09:01:05 UTC 2012


Merhaba,

session fixation problemlerinin önüne geçmek için alınabilecek bir kaç
önlem var, en etkilisi oturum açıldıktan sonra session'in regenerate
edilmesi olacaktır. yeni bir session atamak, geçerliydi, değildi gibi
pek çok kontrol yapmaktan daha etkili sonuç verecektir. Bunun için
PHP'de session_regenerate_id() fonskiyonu kullanılabilir.

http://php.net/manual/en/function.session-regenerate-id.php

Aşağıda bazı imlementasyon örenekleri de var.

http://phpsec.org/projects/guide/4.html

php.ini'de de bazı önlemler alınabiliyor.

http://php.net/manual/en/session.configuration.php#ini.session.use-only-cookies
http://php.net/manual/en/session.configuration.php#ini.session.use-trans-sid

Session Fixation problemlerinin bulunup bulunmadığını test ederken de
geçersiz bir cookie değerini atamak yerine (OWASP dahil pek çok yerde
uyg.php?session=owasp tarzı örnekler verilir) geçerli bir cookie
verisi yollaldığımızda, gelen cevaplarda set-cookie olarak bu cookie
değeri mi geliyor kontrol edilmelidir.Özellikle java tabanlı
uygulamalarda session fixation problemi ile çok sık karşılaşılmakta.
Weblogic, tomcat ve jboss gibi platformlarda uygulama geliştiriken bu
konuya dikkat edilmelidir.

İyi Çalışmalar

> From: owasp-turkey-bounces at lists.owasp.org
> [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of What you get is
> Not what you see
> Sent: Friday, December 14, 2012 9:58 AM
> To: OWASP-Turkey Chapter
> Subject: Re: [Owasp-turkey] Php session id de yabanci karakterler
>
>
>
>
>
>
>
> 2012/12/13 Deniz Cevik <denizcev at gmail.com>
>
>
> eğer session fixation ile ilgili bir kaygı ise belirttiğiniz, sadece
> valid olmayan sessionid leri değil, uygulama tarafından üretilmiş ve
> kullanıcı tarafından geri yollanan geçerli sesion'larında
> kullanılmadığına dair bir kontrol yapmalısınız.
>
>
> Bu nasil implemente edilir phpde?
>
>
>
>
> ************************************************************************ The
> information contained in this message or any of its attachments may be
> confidential and is intended for the exclusive use of the addressee(s). Any
> disclosure, reproduction, distribution or other dissemination or use of this
> communication is strictly prohibited without the express permission of the
> sender. The views expressed in this email are those of the individual and
> not necessarily those of Sony or Sony affiliated companies. Sony email is
> for business use only. This email and any response may be monitored by Sony
> to be in compliance with Sony's global policies and standards
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>


More information about the Owasp-turkey mailing list