elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Consulta sobre seguridad en $_SESSION
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Consulta sobre seguridad en $_SESSION  (Leído 3,931 veces)
Skeletron


Desconectado Desconectado

Mensajes: 1.731


A long way to go


Ver Perfil WWW
Consulta sobre seguridad en $_SESSION
« en: 11 Abril 2010, 23:01 pm »

Hola gente..
Hoy leí algo, que luego de leer, me dieron ganas de cortarme las ******* (los asteriscos los puse yo)

La variable $_SESSION, puede ser modificada por el usuario? algo así como desde su COOKIE? O los datos de $_SESSION se mantienen en el servidor, y solo la podemos modificar desde el codigo PHP???


En línea

isseu


Desconectado Desconectado

Mensajes: 325


°º¤ø,¸¸,El conocimiento es poder°º¤ø,¸¸,ø¤º°`°º¤ø,


Ver Perfil WWW
Re: Consulta sobre seguridad en $_SESSION
« Respuesta #1 en: 11 Abril 2010, 23:14 pm »

se mantienen en el servidor
lo unico que puede cambiar el usuario seria este identificador de sessin pero no lo que esta tiene en su interior
muy bien por preguntar
  :laugh:


En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Consulta sobre seguridad en $_SESSION
« Respuesta #2 en: 11 Abril 2010, 23:22 pm »

no man, no se puede modificar por el usuario, los datos se mantienen en el servidor...
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
haxple

Desconectado Desconectado

Mensajes: 45


BlackApple


Ver Perfil WWW
Re: Consulta sobre seguridad en $_SESSION
« Respuesta #3 en: 11 Abril 2010, 23:35 pm »

Si se puede modificar arbitrariamente. Pero ojo, unicamente cuando register_globals = on..

Por ejemplo tu $_SESSION['user'] podria ser sobreescrito mediante el usario si mandara $_POST['user']=admin  $_COOKIE['user']=admin. etc. Busca sobre session poisoning.
En línea

What does your conscience say? — "You shall become the person you are."
~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Consulta sobre seguridad en $_SESSION
« Respuesta #4 en: 11 Abril 2010, 23:41 pm »

Osea lo que trata de decir o por lo menos entendi yo, esque si se puede modificar...
Osea en el caso de cookies, puedo buscar el archivo donde el navegador guarda las cookies y editarlo. Pero las sesiones no pueden ser modificada por el cliente de esa manera.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
Skeletron


Desconectado Desconectado

Mensajes: 1.731


A long way to go


Ver Perfil WWW
Re: Consulta sobre seguridad en $_SESSION
« Respuesta #5 en: 11 Abril 2010, 23:42 pm »

NO tengo los register_globals en ON...

Yo al comienzo de index.php, hago una comprobacion para ver si el ID que está en SESSION, coincide con otras huevadas dentro de otra variable de SESSION para ver si la sesion abierta es real, etc etc etc.. todo un quilombo he hecho por el miedo a que un usuario modifique la variable $_SESSION['idsession']... que en esa variable guardo el ID del usuario que tiene la session abierta...

Todo eso está de mas... porque jamas podran modificarlo luego de haber iniciado la sesion? :O :O :O

DIOS!!...


Todos los HTMLENTITIES y los MYSQL_REAL_ESCAPE_STRING que tengo estan de mas?!?!??!!?
:O

Creo que la web mejorará en un 50% su velocidad..
Y de por sí que ya es muy rapida
En línea

haxple

Desconectado Desconectado

Mensajes: 45


BlackApple


Ver Perfil WWW
Re: Consulta sobre seguridad en $_SESSION
« Respuesta #6 en: 12 Abril 2010, 00:13 am »

NO tengo los register_globals en ON...

Yo al comienzo de index.php, hago una comprobacion para ver si el ID que está en SESSION, coincide con otras huevadas dentro de otra variable de SESSION para ver si la sesion abierta es real, etc etc etc.. todo un quilombo he hecho por el miedo a que un usuario modifique la variable $_SESSION['idsession']... que en esa variable guardo el ID del usuario que tiene la session abierta...

Todo eso está de mas... porque jamas podran modificarlo luego de haber iniciado la sesion? :O :O :O

DIOS!!...


Todos los HTMLENTITIES y los MYSQL_REAL_ESCAPE_STRING que tengo estan de mas?!?!??!!?
:O

Creo que la web mejorará en un 50% su velocidad..
Y de por sí que ya es muy rapida

No esta demas.. Si alguna vez pasas tu script a algun servidor con registerglobals en on. te podrian modificar la variable... Y para el otro amigo, si se puede moficiar la session con el mismo nombre que una cookie si registerglobals esta en on.
En línea

What does your conscience say? — "You shall become the person you are."
~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Consulta sobre seguridad en $_SESSION
« Respuesta #7 en: 12 Abril 2010, 00:47 am »

La id de sesión sirve para llamar una sesión dentro del servidor...

Código
  1. <?php
  2. echo "Las sessiones se guardan en: ".session_save_path()."<br>";
  3. if(isset($_SESSION['ej'])){#Si esta definida la session ej, el if se ejecuta
  4. echo $_SESSION['ej'];#Imprimimo el valor de la session ej
  5. echo "<br>";
  6. echo session_id();
  7. exit;#Salimos inmediatamente
  8. }
  9. $_SESSION['ej'] = "Hola mundo";#Asignamo el valor Hola mundo a la session ej
  10. exit;#Salimos
  11.  
  12. ?>

Resultado:
Código:
Las sessiones se guardan en: /var/lib/php5
Hola mundo
e19fb57d39f9b5d745124b7785277e55

Ahora lo verificamos.

Código:
root@yoya-desktop:/var/www# ls /var/lib/php5 | grep sess_e19fb57d39f9b5d745124b7785277e55
sess_e19fb57d39f9b5d745124b7785277e55


La sesión se elimina al finalizar la sesión...
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Consulta seguridad servers
Seguridad
manyblue 1 2,671 Último mensaje 15 Diciembre 2010, 19:51 pm
por manyblue
¿hay que proteger el $_SESSION['USUARIO'] ?
PHP
tecasoft 2 1,920 Último mensaje 18 Marzo 2013, 13:59 pm
por tecasoft
Ayuda con $_SESSION
PHP
spysecurityca 4 1,939 Último mensaje 26 Junio 2014, 23:09 pm
por MinusFour
Cerrar la $_session
PHP
yoelrodguez 5 2,960 Último mensaje 14 Octubre 2016, 16:21 pm
por [u]nsigned
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines