Session Hijacking

[hba]

نه اصلا هم الکی نم گم همین برنامه persianform که می شناسید همین باگ رو داشت که یه دقیقه ای هک می کردمش

بله یکی از راه ها session در پایگاه داده یا ip است

بهترین هم کد مردن مقادیر داخل sesiion و برسی حتمی مقادیر کد در برنامه نه فقط وجود session

 

[hba]

خیلی ها فکر می کنند الکی هست ساده ترین راه برای درک چیز هایی که می گم استفاده از برنامه achile برای تازه کار های هک هست که ببینند چقدر سایت می شه زد با دست کاری مقادیر sesiion در هنگام صفحه به صفحه است

 

[artin]

خیلی ها فکر می کنند الکی هست ساده ترین راه برای درک چیز هایی که می گم استفاده از برنامه achile برای تازه کار های هک هست که ببینند چقدر سایت می شه زد با دست کاری مقادیر sesiion در هنگام صفحه به صفحه است

میشه لینکی چیزیش ازش بدی ؟

 

[hba]

راستش گفتم هک نیومدم یاد بدم ضدش رو کار می کنیم

 

[miladmovie]

نه اصلا هم الکی نم گم همین برنامه persianform که می شناسید همین باگ رو داشت که یه دقیقه ای هک می کردمش

بله یکی از راه ها session در پایگاه داده یا ip است

بهترین هم کد مردن مقادیر داخل sesiion و برسی حتمی مقادیر کد در برنامه نه فقط وجود session

خب اینکه کد نویس یکم کالیبرش رو باز می کنه تست تک تک موارد ذخیره شده رو تست نمی کنه نمی شه مشکل رو از session دونست

من خودم که هم نام کاربری کلمه عبور IP رو می گیرم و برای اینکه تست کنم چه کسی آلان لاگین کرده همش رو تست می کنم

 

[artin]

miladmovie
میلاد جان منظورت اینه مثلا اگر یه صفحه مخصوص عضوها داریم یه session بسازیم که توش مثلا username و password اینا ذخیره بشه بعدش بالای حرف صفحه بزاریم و به جای اینکه وجود یا محتوای session رو چک کنیک با محتویات اون session دوباره database رو سرچ کنیم
آره ؟
اینجوری پس امکان خطرش به صفر می رسه دیگه ؟

 

[hba]

دقیقا منظورم همینه که همین کار رو باید کرد
من نگفتم session خطری هست گفتم بد می نویسند و فقط به وجودش اکتفا می کنند
اگر هر بار با دیتابیس چک شه مشکل حله

 

[artin]

خوب پس حلله !
نمی چرا میلاد میگه این ماله کالیبره چون هیچ ربطی بهش نداره
من فکر می کنم این ماله اطلاعات کمه تا تنبل بود
چون معمولا همه یه فایل include می کنن که session رو چک کنه خوب همون جا یه IF اضافه تر میزارن تا دیتابیس رو چک کنه و اگه مورد داشت بندازه بیرون !

در هر صورت ممنون
ما که کلی یاد گرفتیم

پس پرونده session hijacking مختمه اعلام میشه

 

[hba]

بله این طوری یکی از بهترین ها هست که حتما هر بار در include که می کنیم دوباره با دیتابیس بررسی شه حتما هم رمز هم پسورد حتما دیگه مشکلی نیست
خوشحالم این موضوع تماما حل شد چون این بد نوشتن رو خیلی دیدم مخصوصا تو برنامه نویس های ایرانیمون
ممنون

 

[shankimout]

hba جون حالا نمیشه این روش هاتو بگی ؟ جای دوری نمیره . اگر هم دلت نمی خاد همه ببینن به بچه های این تاپیک پی ام بده . مام قول میدیم به هیشکی نگیم

 

[hba]

ببین قراره اینجا php کار کنیم هک که نیست اگه انجمن هک داشتیم بد نبود هک می خواهی بیا اینجا با هم باشیم
http://www.crouz.com

 

[phpkar]

بله این طوری یکی از بهترین ها هست که حتما هر بار در include که می کنیم دوباره با دیتابیس بررسی شه حتما هم رمز هم پسورد حتما دیگه مشکلی نیست
خوشحالم این موضوع تماما حل شد چون این بد نوشتن رو خیلی دیدم مخصوصا تو برنامه نویس های ایرانیمون
ممنون

من قبلنا از همون روشی که میگی استفاده میکردم . یعنی هر بار توی همون فایلی که Include میکرد session رو چک میکردم . اما فکر کردم ممکنه این کار باعث صرفه جویی در بار روی mysql بشه ... ولی تو خط session hijacking نبودم ...
خوشبختانه این اشکال هم فقط در PF بوجود اومده و خیالم از بابت کارای قبلی راحته ... راستی به غیر از روش هر بار چک کردن دیتابیس نمیشه با عوض کردن session ID اینکارو کرد ؟

 

[shankimout]

من قبلا ( یکی دو سال پیش) تو کروز عضو بودم ولی الان بنم کردن و عضویت رو بستن

شما فقط عضو کروز هستی ؟ من تو اشیانه و شبگرد هستم

 

[hba]

اره کروز همه رو ریخت بیرون و فقط حدود 20 نفر اونجا موندیم

 

[shankimout]

خوب ما از کجا یه چهار تا چیز یاد بگیریم . ای بوک خفن هم نداری ؟

 

[miladmovie]

ببین قراره اینجا php کار کنیم هک که نیست اگه انجمن هک داشتیم بد نبود هک می خواهی بیا اینجا با هم باشیم
http://www.crouz.com

اره کروز همه رو ریخت بیرون و فقط حدود 20 نفر اونجا موندیم

نتیجه اخلاقی نمی شه اومد به سایت کروز و با کسی بود

 

[shankimout]

نتیجه اخلاقی نمی شه اومد به سایت کروز و با کسی بود

البطه با یکم حساب کتاب مالی میشه

 

[hba]

من تو کروز و شبگرد و ihs و ir-hackers و .... هستم و همین طور اشیانه ولی از اونها خوشم نمی اد
یه مدت هم قاچاقی تو سایت پولیه اشیانه بودم اصلا حال نکردم

 

[mojtabax]

آقا یه نگاه هم به عنوان تاپیک بندازید بد نیست:happy:
با چک کردن آی پی نمیشه از این جور هک شدن جلوگیری کرد ؟

 

[hba]

نه چک شدن ip کاری نمی کنه چون سازنده session تقلبی هم یک کاربره و ip داره با چک کردن کاری نمی شه کرد