[Ss2K]

Yoh !
Est-il possible de mentir sur les $_SESSION ? en modifiants les headers http par exemple (comme pour le REFERER) ou même avec une méthode plus complexe ?
J'ai fais une zone membre, avec une zone admin, et régulierement je teste les $_SESSION pour verifier que l'user est bien authentifié et qu'il a bien les droits nécessaire pour consulter la page, mais justement... je ne sais absolument pas si ces variables sont fiables (meme si c'est pas du 100% un **No Sms** 90% serait déja pas mal )

[the lsd]

Les sessions sont fiables

Le principe reste simple
 - authentification
 - création d'une clé sur le serveur
 - phpsessid unique (enfin quasi unique, mais pour avoir une clé en double, il faut un sacré paquet d'user connecté en meme temps...)

Donc le moyen de bypasser des sessions c'est de trouver le phpsessid de quelqu'un de connecté, qui n'est pas chose facile.

Enjoy

The lsd

[StCyr]

Donc le moyen de bypasser des sessions c'est de trouver le phpsessid de quelqu'un de connecté, qui n'est pas chose facile.

Comme dans le challenge des portes de Nms?

[Ge0]

StCyr, évite de spoiler...
Sinon the lsd, des que tu as le phpsessid d'une autre personne, tu as accès à ses données de session, nop ?

[Zmx]

il y as pas une histoire de global j'sais pas quoi a true dans php4 qui peux permettre sous certaine condition d'ecraser la session ?

[nofx]

Si je crois qui ya un truc avec les globales si elles ont été mal iniatilisées au départ!

ya un truc dans le genre ici http://www.student-designer.com/fr/tutoriaux/programmation/php-mysql/securite/php-register-globals-failles/

[Ss2K]

vous parlez de register_global ? il me semble que maintenant c'est a OFF (mais je sais pas trop a quoi ca sert)
Sinon merci the lsd tu m'evite de verifier systematiquement si le compte a bien été créé

[darkfig]

- phpsessid unique (enfin quasi unique, mais pour avoir une clé en double, il faut un sacré paquet d'user connecté en meme temps...)

La clé généré sera toujours unique, etant donné que les sessions sont stockés dans un repertoire, il ne peut pas y avoir de fichiers portant le meme nom (sess_[0-9]{32} le plus souvent) dans un meme repertoire.

Donc le moyen de bypasser des sessions c'est de trouver le phpsessid de quelqu'un de connecté, qui n'est pas chose facile.

Via une xss, ou en ayant un accès local et un exploit php permettant de bypasser les restrictions imposés par open_basedir c'est faisable (ou par exemple via une faille de type overwrite de variables )

Sinon the lsd, des que tu as le phpsessid d'une autre personne, tu as accès à ses données de session, nop ?

Cette joke...les données des sessions sont stockés sur le serveurs et le dossier (la plupart du temps) est protégé d'accès, tu ne peut donc pas y avoir accès, sauf si ya du code qui affiche des données du tableaux sessions.

il y as pas une histoire de global j'sais pas quoi a true dans php4 qui peux permettre sous certaine condition d'ecraser la session ?

Oui. Si la directive register_globals est sur On, et si la personne n'a pas appellé la fonction session_start() il est possible de modifier / créé des valeurs du tableau $_SESSIONS.

vous parlez de register_global ? il me semble que maintenant c'est a OFF (mais je sais pas trop a quoi ca sert)

Oui pour des raisons de sécurité cette directive est sur Off par défaut maintenant

[mito]

Oui. Si la directive register_globals est sur On, et si la personne n'a pas appellé la fonction session_start() il est possible de modifier / créé des valeurs du tableau $_SESSIONS.

La variable $_SESSIONS est faillible car on a oublié la fonction [h]session_start()[/h] !!!.
c'est à dire que nous pouvons crée notre sessions puis nous connectez avec celle-ci.?(j'en apprendrai tous les jours)
Vous connaissez d'autre astuce ,où une variable est faillible quand on a oublié une fonction.

Ma soif de connaissance est grande .Le partage est *bidirectionnel*

[the lsd]

- phpsessid unique (enfin quasi unique, mais pour avoir une clé en double, il faut un sacré paquet d'user connecté en meme temps...)

La clé généré sera toujours unique, etant donné que les sessions sont stockés dans un repertoire, il ne peut pas y avoir de fichiers portant le meme nom (sess_[0-9]{32} le plus souvent) dans un meme repertoire.

Au bout d'un moment, on arrive bien a la limite du nom. On aura fait le tour complet des cara alpha numériques. Au demeurant, j'ai bien précisé des users connecté en meme temps. Si il y a un roulement, ca ne marche plus. Mais je susi bien d'accord que dans la pratique, c'est impossible d'arriver à la limite du nom

Donc le moyen de bypasser des sessions c'est de trouver le phpsessid de quelqu'un de connecté, qui n'est pas chose facile.

Via une xss, ou en ayant un accès local et un exploit php permettant de bypasser les restrictions imposés par open_basedir c'est faisable (ou par exemple via une faille de type overwrite de variables )

C'est bien evidemment ce que je voulais dire (en parlant principalement des XSS)

Sinon the lsd, des que tu as le phpsessid d'une autre personne, tu as accès à ses données de session, nop ?

Cette joke...les données des sessions sont stockés sur le serveurs et le dossier (la plupart du temps) est protégé d'accès, tu ne peut donc pas y avoir accès, sauf si ya du code qui affiche des données du tableaux sessions.

Pour le coup, c'etait une private joke (enfin je pense)

Enjoy

The lsd