Учебный скрипт авторизации
- Автор темы Фанат
- Дата начала
Ну че - переписываем по-старинке,
?
PHP:
if ($row = mysql_fetch_assoc($res)) {
session_start();
$_SESSION['user_id'] = $row['id'];
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
header("Location: http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
exit;
} else {
echo "Неверный логин или пароль";
}
DYPA
Настоящая dypa (c)
2 *****:
чемуж вы детей учите
мораль простая массив $_SERVER является часть пользовательского ввода, а значит нужна валидация данных. В данном случае надо проверять наличие \n и \r символов.
чемуж вы детей учите
PHP:
<?php
//http://localhost/auth.php?\n\rSet-Cookie:%20stop=1;
if ($_COOKIE['stop'] = '1') var_dump($_COOKIE);die('XSS');
header("Location: http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
PHP:
if (strpbrk($_SERVER['REQUEST_URI'], "\r\n"))
{
throw new Exception('Header не должен содержать \r и \n');
}
berkut
Новичок
AmdY
а при чём тут на свой? я кину такой линк кому-нибудь и он сам себе чего нибудь поставит.
-~{}~ 24.02.08 22:16:
мля, исходя из этого скрипта, я вот чё подумал. Я кидаю челу линк http://site.com/auth.php?SID={валидный сид} - и грю, типа зайди позырь мои фотки. он кликает - у него автоматом стартует сессия, причём именно с этим сидом. он вбивает логин-пароль - и я получается знаю его СИД и могу войти под его аккаунтом. единственное препятствие - проверка в скрипте IP. Вывод - цеплять сиды из GET, POST - опасно. Только куки - с ними такой финт не получится. Но т.к. тут есть уязвимость в header - я могу дать ссылку и проставить жертве куку с сидом
-~{}~ 24.02.08 22:21:
хотя нет, если из пост гет не цеплять, то я могу подсунуть куку. но после авторизации его опять выкинет на логин - и вот тогда, если он ещё раз введёт логин/пароль - я поимею его сессию
а при чём тут на свой? я кину такой линк кому-нибудь и он сам себе чего нибудь поставит.
-~{}~ 24.02.08 22:16:
мля, исходя из этого скрипта, я вот чё подумал. Я кидаю челу линк http://site.com/auth.php?SID={валидный сид} - и грю, типа зайди позырь мои фотки. он кликает - у него автоматом стартует сессия, причём именно с этим сидом. он вбивает логин-пароль - и я получается знаю его СИД и могу войти под его аккаунтом. единственное препятствие - проверка в скрипте IP. Вывод - цеплять сиды из GET, POST - опасно. Только куки - с ними такой финт не получится. Но т.к. тут есть уязвимость в header - я могу дать ссылку и проставить жертве куку с сидом
-~{}~ 24.02.08 22:21:
хотя нет, если из пост гет не цеплять, то я могу подсунуть куку. но после авторизации его опять выкинет на логин - и вот тогда, если он ещё раз введёт логин/пароль - я поимею его сессию
berkut
Новичок
да что это такое!Ж) смотрим в код. допустим, я ждаже не зареген на сайте site.ru Я делаю запрос: http://site.ru/auth.php?PHPSESSID смотрим в код:
if (isset($_REQUEST[session_name()])) session_start();
у меня стартует сессия и в ней ничего нет. из куки, которую мне проставили или из хидден формы я узнаю идентьификатор своей пустой сессии. я кидаю жертве ссылку site.ru/auth.php?PHPSESSID={СЮДА ВПИСЫВАЮ ТОЛЬКО ЧТО ПОЛУЧИВШИЙ, СВОЙ ИД СЕССИИ} - смотрим в код(исключение, если у юзера уже есть активная сессия с кукой) - отрабатывает опять та-же строка
if (isset($_REQUEST[session_name()])) session_start();
а что делает session_start() - она смотрит в куки, и если trans_sid = on, то ещё и POST, GET и ищет там ИД сессии. Если находит ид и соответствующий файл сессии - то стартует сессию с этим ИД! далее, т.к. сессия пустая, показывается форма логина. юзверь вводит данные и всё та-же сессия уже не пустая, а в данном случае с его ip и user_id. Всё! теперь я знаю ИД его сессии(вернее, которая была моя изначально).
И даже если отрубить use transe sid, то из-за уязвимости в header можно подсунуть ему, по тому-же принципу, свой сид
if (isset($_REQUEST[session_name()])) session_start();
у меня стартует сессия и в ней ничего нет. из куки, которую мне проставили или из хидден формы я узнаю идентьификатор своей пустой сессии. я кидаю жертве ссылку site.ru/auth.php?PHPSESSID={СЮДА ВПИСЫВАЮ ТОЛЬКО ЧТО ПОЛУЧИВШИЙ, СВОЙ ИД СЕССИИ} - смотрим в код(исключение, если у юзера уже есть активная сессия с кукой) - отрабатывает опять та-же строка
if (isset($_REQUEST[session_name()])) session_start();
а что делает session_start() - она смотрит в куки, и если trans_sid = on, то ещё и POST, GET и ищет там ИД сессии. Если находит ид и соответствующий файл сессии - то стартует сессию с этим ИД! далее, т.к. сессия пустая, показывается форма логина. юзверь вводит данные и всё та-же сессия уже не пустая, а в данном случае с его ip и user_id. Всё! теперь я знаю ИД его сессии(вернее, которая была моя изначально).
И даже если отрубить use transe sid, то из-за уязвимости в header можно подсунуть ему, по тому-же принципу, свой сид
berkut
Новичок
никакие проверки не помогут - вернее сильно завязаны на конкретном коде и в некоторых случаях вообще ничего не сделаешь. поэтому выход только 1: отрубать trans_sid в конфигурации и не писать ламо код
header("Location: http://".$_SERVER['HTTP_HOST']."/" . $_SERVER['REQUEST_URI']);
вообще удивительно, сколько развелось желающих чему-нибудь научить, которым бы самим за пхп для чайников сесть. тут в юморе помниться была такая тема
header("Location: http://".$_SERVER['HTTP_HOST']."/" . $_SERVER['REQUEST_URI']);
вообще удивительно, сколько развелось желающих чему-нибудь научить, которым бы самим за пхп для чайников сесть. тут в юморе помниться была такая тема