Foro de elhacker.net

wenas y gracias x responder ante todo, os explico el tema, mi web, tiene 2 campos, usuario y contraseña, acccedo mediante $_POST. Y me crea una cookie automaticamente de sesion, como puedo desde el principio configurarla para que no me hagan XSS etc etc, se el funcionamiento del XSS pero no se acceder a dicha cookie y manejarla, se crear cookies, pero no se acceder a esa desde el principio. Entenedeis que digo¿¿? que codigo es para acceder a ella?¿?


e mirado este link y muchos ejemplos de como me pueden robar cookies y se como funciona el funcionamiento pero no lo consigo acceder a la cookie que me crea el sistema automaticamente.

http://php.net/manual/es/function.setcookie.php
 (http://php.net/manual/es/function.setcookie.php)

Se supone que XSS es a nivel de javascript, consulta desde allí.... :https://www.owasp.org/index.php/Session_hijacking_attack

es para que no me roben las cookies mediante javascript por eso hay un parametro en setcookie que te protege, yo digo de como acceder a esa cookie de sesion y modificarla sabes?¿

Por lo que cuentas creo que te refieres al PHPSESSID.

Que es lo que quieres modificar de la cookie?, puede cambiar el nombre de PHPSESSID por el que quieras, puedes cambiarle el tiempo de expiración de la cookie, el path, etc.

Pero esas modificaciones no sirven para evitar un xss, la unica modifcación que se me ocurre es usar la cabecera httponly, que por lo que entendi es para evitar que mediante javascript se pueda leer o escribir en la cookie.

Httponly es una buena opción pero a mi parecer no es la optima, ya se han mostrado metodos para hacer bypass a este metodo.

La mejor forma de evitar un xss a mi parecer es, Validar todo lo que ingrese el usuario.

De todas formas te dejo el link de las opciones para modificar la id de session.

http://php.net/manual/en/session.configuration.php

Tienes que hacerlo mediante el php.ini, o mediante init_set.

Saludos

gracias a todos x contestar, era desde el php.ini lo he modificado y va de lujo... ;-)  :silbar: