[Owasp-turkey] Php session id de yabanci karakterler

Bedirhan Urgun bedirhanurgun at gmail.com
Fri Dec 14 19:35:16 UTC 2012


GuvenliKod <http://www.guvenlikod.com> uzerinden de session fixation ile
alakali bazi pratik bilgilere erisebilirsiniz. :)

http://www.guvenlikod.com/Home/Search?search=session

bedirhan


14 Aralık 2012 11:01 tarihinde Deniz Cevik <denizcev at gmail.com> yazdı:

> Merhaba,
>
> session fixation problemlerinin önüne geçmek için alınabilecek bir kaç
> önlem var, en etkilisi oturum açıldıktan sonra session'in regenerate
> edilmesi olacaktır. yeni bir session atamak, geçerliydi, değildi gibi
> pek çok kontrol yapmaktan daha etkili sonuç verecektir. Bunun için
> PHP'de session_regenerate_id() fonskiyonu kullanılabilir.
>
> http://php.net/manual/en/function.session-regenerate-id.php
>
> Aşağıda bazı imlementasyon örenekleri de var.
>
> http://phpsec.org/projects/guide/4.html
>
> php.ini'de de bazı önlemler alınabiliyor.
>
>
> http://php.net/manual/en/session.configuration.php#ini.session.use-only-cookies
>
> http://php.net/manual/en/session.configuration.php#ini.session.use-trans-sid
>
> Session Fixation problemlerinin bulunup bulunmadığını test ederken de
> geçersiz bir cookie değerini atamak yerine (OWASP dahil pek çok yerde
> uyg.php?session=owasp tarzı örnekler verilir) geçerli bir cookie
> verisi yollaldığımızda, gelen cevaplarda set-cookie olarak bu cookie
> değeri mi geliyor kontrol edilmelidir.Özellikle java tabanlı
> uygulamalarda session fixation problemi ile çok sık karşılaşılmakta.
> Weblogic, tomcat ve jboss gibi platformlarda uygulama geliştiriken bu
> konuya dikkat edilmelidir.
>
> İyi Çalışmalar
>
> > From: owasp-turkey-bounces at lists.owasp.org
> > [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of What you get
> is
> > Not what you see
> > Sent: Friday, December 14, 2012 9:58 AM
> > To: OWASP-Turkey Chapter
> > Subject: Re: [Owasp-turkey] Php session id de yabanci karakterler
> >
> >
> >
> >
> >
> >
> >
> > 2012/12/13 Deniz Cevik <denizcev at gmail.com>
> >
> >
> > eğer session fixation ile ilgili bir kaygı ise belirttiğiniz, sadece
> > valid olmayan sessionid leri değil, uygulama tarafından üretilmiş ve
> > kullanıcı tarafından geri yollanan geçerli sesion'larında
> > kullanılmadığına dair bir kontrol yapmalısınız.
> >
> >
> > Bu nasil implemente edilir phpde?
> >
> >
> >
> >
> > ************************************************************************
> The
> > information contained in this message or any of its attachments may be
> > confidential and is intended for the exclusive use of the addressee(s).
> Any
> > disclosure, reproduction, distribution or other dissemination or use of
> this
> > communication is strictly prohibited without the express permission of
> the
> > sender. The views expressed in this email are those of the individual and
> > not necessarily those of Sony or Sony affiliated companies. Sony email is
> > for business use only. This email and any response may be monitored by
> Sony
> > to be in compliance with Sony's global policies and standards
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 

bedirhan urgun
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20121214/ff918648/attachment.html>


More information about the Owasp-turkey mailing list