 |
|
| node: | Re[3]: co to tam robi? |
| template: | 4 |
| parent: | Re[2]: co to tam robi? |
| owner: | sine |
| viewed by: | |
| created: | 22.04.2009 - 13:39:27 |
| updated: | 22.04.2009 - 13:44:30 |
|
cwbe coordinatez: 101 63540 1701996 4658010 4660054 4660115 4660165 4660208 ABSOLUT KYBERIA |
| permissions | |
| you: | r, |
| system: | public |
| net: | yes |
total descendants::
total children::1
ako som spomenul
utocnik dokaze nainjectovat lubovolnu hodnotu pre PHPSESSID (v pripade, ze uzivatel je neautentizovany), aplikacia tuto hodnotu akceptuje, po uspesnej autentizacii pouzivatela tuto hodnotu nepregeneruje, po odhlaseni pouzivatela neinvaliduje a znova ju pouzije nasledne pre dalsieho pouzivatela, ktory sa z daneho prehliadaca prihlasi.
nejde tu o ziadne viazanie session na specificku IP adresu, ale chybnu implementaciu session managementu, vid predosly link, ktory si si urcite nepozrel, sudiac podla Tvojho prispevku.
feature simultanych prihlaseni by som riesil urcite inak.
utocnik dokaze nainjectovat lubovolnu hodnotu pre PHPSESSID (v pripade, ze uzivatel je neautentizovany), aplikacia tuto hodnotu akceptuje, po uspesnej autentizacii pouzivatela tuto hodnotu nepregeneruje, po odhlaseni pouzivatela neinvaliduje a znova ju pouzije nasledne pre dalsieho pouzivatela, ktory sa z daneho prehliadaca prihlasi.
nejde tu o ziadne viazanie session na specificku IP adresu, ale chybnu implementaciu session managementu, vid predosly link, ktory si si urcite nepozrel, sudiac podla Tvojho prispevku.
feature simultanych prihlaseni by som riesil urcite inak.