cwbe coordinatez:
101
63540
1701996
4658010
4660054

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::
total children::1
show[ 2 | 3] flat
Session fixation na cookies PHPSESID je podla mn featura ako BUG

I like your game but we have to change the rules.




000001010006354001701996046580100466005404660115
niekt0
 niekt0      22.04.2009 - 13:02:00 , level: 1, UP   NEW
nie je to featura, si schopny cloveku predtym nez sa prihlasi na kyberiu podhodit cookie,
potom pockat kym sa prihlasi, a potom mas prihlaseneho cloveka a vies jeho cookie, cize mas kontrolu nad jeho seansou. => bezpecnostny prienik. Cookie by sa mala pri prihlasovani resetovat. Viz. http://www.owasp.org/index.php/Session_Fixation

00000101000635400170199604658010046600540466011504660165
Toth
 Toth      22.04.2009 - 13:26:53 , level: 2, UP   NEW
Jasne to vsetko chapem, ale doteraz som to bral ako featuru ktora je normalna na viacerych diskusnych servroch. Dost mi bude chybat.

Podla mna je to len o stupni paranoje ktorou trpis, potom to osetrite aj na IP.. blbost.

I like your game but we have to change the rules.

0000010100063540017019960465801004660054046601150466016504660208
sine
 sine      22.04.2009 - 13:39:27 (modif: 22.04.2009 - 13:44:30), level: 3, UP   NEW !!CONTENT CHANGED!!
ako som spomenul
utocnik dokaze nainjectovat lubovolnu hodnotu pre PHPSESSID (v pripade, ze uzivatel je neautentizovany), aplikacia tuto hodnotu akceptuje, po uspesnej autentizacii pouzivatela tuto hodnotu nepregeneruje, po odhlaseni pouzivatela neinvaliduje a znova ju pouzije nasledne pre dalsieho pouzivatela, ktory sa z daneho prehliadaca prihlasi.

nejde tu o ziadne viazanie session na specificku IP adresu, ale chybnu implementaciu session managementu, vid predosly link, ktory si si urcite nepozrel, sudiac podla Tvojho prispevku.

feature simultanych prihlaseni by som riesil urcite inak.

000001010006354001701996046580100466005404660115046601650466020804660582
Toth
 Toth      22.04.2009 - 16:01:28 , level: 4, UP   NEW
Ospravedlnujem sa, neprecital som si to ;)

Na sociálnej úrovni môže byť agresívny potenciál jedinca posväcovaný bojom za "správnu" ideológiu, proti nepriateľovi, v honbe za obetnými baránkami. Agresivita sa tak mení v strašnú silu bez pocitu viny. (E.Fromm)

0000010100063540017019960465801004660054046601150466016504660194
niekt0
 niekt0      22.04.2009 - 13:34:45 , level: 3, UP   NEW
S obmedzenim na ip je problem kvoli niektorym providerom, takze to sa riesit (aspon zatial) nebude.
Toto sa da velmi jednoducho fixnut, a aj to fixneme;)