anpera.net https://anpera.homeip.net/phpbb3/ |
|
!! Sicherheitslücke in LoGD's Session-Verwaltung https://anpera.homeip.net/phpbb3/viewtopic.php?f=26&t=4902 |
Seite 1 von 1 |
Autor: | Eliwood [ Do 28 Mai, 2009 12:48 ] |
Betreff des Beitrags: | !! Sicherheitslücke in LoGD's Session-Verwaltung |
Mir ist über Umwege heute eine Sicherheitslücke in LoGD's Session-Verwaltung mitgeteilt worden. Ich vermute, dass sich die Lücke nur mit besonderer PHP- oder Apache-Konfiguration ausnützen lässt. Der Bugfix ist aber relativ einfach. In der common.php gehört session_register('session') ersetzt mit folgendem Stück code: $this->bbcode_second_pass_code('', '// Session einstellen & starten session_name('IrgendEinNameOhneBesondereZeichen'); session_start();') Der Parameter von session_name sollte für jeden Server eindeutig sein. Garantiert erlaubt sind Zeichen a-Z und 0-9. Ich empfehle hier zum Beispiel den Namen des Servers (spamAndeggsLoGD) zu nehmen. |
Autor: | -DoM [ Do 18 Jun, 2009 10:50 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Man sollte auch erwähnen, dass der Name nicht nur aus Zahlen bestehen darf! session_name() |
Autor: | Eliwood [ Do 18 Jun, 2009 16:00 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Sagte ich doch bereits: Garantiert ist das funktionieren von den Zeichen a-Z und 0-9... |
Autor: | -DoM [ Do 18 Jun, 2009 20:23 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Ohne jetzt kleinlich zu wirken, aber was wäre wenn Jemand auf die Idee kommt nur Zahlen zu nutzen, und später auf eine spezifische SessionId zuzugreifen versucht? Ich habe auch nicht gesagt, dass a-z und 0-9 falsch wären. Leidiglich deiner Aussage hinzugefügt, dass NICHT NUR Zahlen, verwendwung finden dürfen/sollten. Aber dennoch danke ich dir für deinen Hinweis, über die eventuelle Lücke, auch wenn ich glaube das die Umstände dann schon sehr "spezifisch" sein müssten. |
Autor: | Lunastra [ Do 18 Jun, 2009 22:24 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Ich mischerl mihch ma ein, und sag einfach mal Danke fürs aufmerksam machen^^ |
Autor: | Eliwood [ Do 18 Jun, 2009 23:46 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
-DoM hat geschrieben: Ohne jetzt kleinlich zu wirken, aber was wäre wenn Jemand auf die Idee kommt nur Zahlen zu nutzen, und später auf eine spezifische SessionId zuzugreifen versucht? Ich habe auch nicht gesagt, dass a-z und 0-9 falsch wären. Leidiglich deiner Aussage hinzugefügt, dass NICHT NUR Zahlen, verwendwung finden dürfen/sollten. Aber dennoch danke ich dir für deinen Hinweis, über die eventuelle Lücke, auch wenn ich glaube das die Umstände dann schon sehr "spezifisch" sein müssten. Oh. Dann hab ich dich wohl missverstanden, sorry. Ja, klar - Mindestens ein Buchstabe muss vorhanden sein. |
Autor: | MySql [ Do 25 Jun, 2009 22:28 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Müsste dann nicht auch, folgende Zeile geändert werden: $this->bbcode_second_pass_code('', '$session =& $_SESSION['session'];') Daher die Session im ggf. dann ja nicht mehr "session" heisst!? |
Autor: | Eliwood [ Fr 26 Jun, 2009 00:22 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Häh? Die Session ist ja immernoch $_SESSION. Da ist egal, wie die heisst - Sessionname ist hauptsächlich für die Cookies da. |
Autor: | MySql [ Fr 26 Jun, 2009 11:31 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Achso okay. Hatte mich nur irritiert, da die "session_register" ja auch "session" enthielt.. (: |
Autor: | Eliwood [ Fr 26 Jun, 2009 16:50 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
session_register() ist veraltet - habs deswegen weggelassen. das hinzufügen von Array-schlüssel in $_SESSION reicht seit PHP-Version... Irgendwas über 4.0.5. |
Autor: | Nightborn [ Di 07 Jul, 2009 10:44 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
wie eliwood sagt... session_register() ist veraltet... daher z.B. bei mir nur: 90 //session_register("session"); 91 //deprecated 92 session_start(); 93 als Änderung an der DP Edition von 1.x.x. Läuft und passt. Der Sessionname ist irrelevant m.E. nach. |
Autor: | Eliwood [ Di 07 Jul, 2009 11:54 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Nein. Eben nicht. Das ist ja der Fix der Sicherheitslücke. Ich schreib dir mal das Verhalten zu. |
Autor: | Welv [ Fr 17 Jul, 2009 06:13 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Ich hab da ein Problem mit dem Fix, weiß aber nicht obs am Fix, am Browser oder XAMPP, oder logd 0.9.7 liegt ^^ Bevor aber groß Crossposting geschriehen wird, frag ich mal nur hier nach. Wenn ich session_set_cookie_params() so verwende, PHP: session_name('logd'); session_set_cookie_params(0, dirname($_SERVER['PHP_SELF']), $_SERVER['HTTP_HOST']); session_start(); akzeptiert weder Firefox, noch IE das Cookie "logd" (alle anderen Cookies schon. lgi und eigene). Opera hat hingegen keine Progleme damit. Wenn ich session_set_cookie_params() weg lasse, dann gehts in allen Browsern. |
Autor: | Eliwood [ Fr 17 Jul, 2009 11:44 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
a) Nimm einen eindeutigeren Namen als "logd". b) Die Cookie-Parameter kann man weglassen. |
Autor: | Welv [ Fr 17 Jul, 2009 15:32 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
Eliwood hat geschrieben: a) Nimm einen eindeutigeren Namen als "logd". b) Die Cookie-Parameter kann man weglassen. a) hab ich schon gehabt. logd war nur als beispiel b) mit session_set_cookie_params(0) funktionierts. danke |
Autor: | Tidus [ Fr 24 Jul, 2009 08:11 ] |
Betreff des Beitrags: | Re: !! Sicherheitslücke in LoGD's Session-Verwaltung |
hmmm nach dem kommentar von Salator ist mir ein licht aufgegangen. Jedesmal beim automatischen logout oder timeout kam die meldung auf der index man müsse cookies zulassen etc. das liegt wohl daran das man PHPSESSID durch den namen in der common.php ersetzen muss? if (!isset($_COOKIE['PHPSESSID'])){ is 2x in der index.php enthalten. greetz |
Seite 1 von 1 | Alle Zeiten sind UTC + 1 Stunde |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |