[Variablen] Sessionname von Hand ändern - ist das möglich?

**Benny-one** · 20.09.2004, 11:45

nein - nicht das ich wüsste - nein

EDIT:
bzw. alles is hackbar - nur dazu müsste der Angreifer entweder zugang zum server haben, oder sich dazwischen setzen "man in the middle"

**wahsaga** · 20.09.2004, 11:51

Re: [Variablen] Sessionname von Hand ändern - ist das möglich?

Original geschrieben von Schoppy
ist es für jemanden, der meinen Kundenbereich manipulieren möchte möglich der Session einen neuen Wert zuzuweisen? Sei es über ein kleines Tool, den Browser oder mittels SQL-Injection?

jein.

zunächst einmal natürlich nicht, weil die session-daten auf dem server gespeichert werden, darauf hat niemand zugriff (*).

gefahr lauert eigentlich nur an der stelle, wo du selbst deine session befüllst. wenn es mir irgendwie möglich wäre, den wert zu manipulieren, den du der session-var zuweist, dann hätte ich damit ja auch gleich die session-var selbst verändert. register_globals wäre hier ein sicherheitsrelevantes stichwort.

(*) abgesehen vielleicht von leuten, die ebenfalls zugriff auf den server haben und dort daten ändern können - bei schlechter konfiguration evtl. denkbar.

**Schoppy** · 20.09.2004, 12:05

Also könnte man das ganze nur bei der Anmeldung manipulieren, oder?

Ich nutze zur Zeit folgendes Login-Script...wäre super wenn ich ein paar Tips bekommen könnte wie ich es sicherer machen kann. Vielleicht kennt jemand ja auch ein paar Links zu diesem Thema...

PHP-Code:


<?php

/* Grundeinstellungen */

require_once './global.php';



$error = FALSE;

$titel = 'Check';



if (isset($_POST['anmelden'])) {



    /* Überprüfe ob der User vorhanden ist */

    if ($_POST['kdn'] == '' || $_POST['passwort'] == ''){ 

        $error_msg = 'Bitte füllen Sie alle Felder aus !';

        $error = TRUE;

    

    } else {



        $result = $db->query("SELECT * FROM ".$prefix."kunden 

                                           WHERE kd_kdn = '".$_POST['kdn']."'");

        $row = mysql_num_rows($result);

            

        /* Kein passender Benutzer vorhanden */

        if ($row == 0) {

            $error_msg = 'Diese Kundennummer ist nicht vorhanden !';

            $error = TRUE;

        } else {

        

            $row = mysql_fetch_array($result);

            

            /* Passwort stimmt nicht überein */

            if ($row['kd_passwort'] <> $_POST['passwort']) {

                $error_msg = 'Bitte geben Sie das richtige Passwort ein !';

                $error = TRUE;

            }

        }

    }

}



/* Eingaben des Users waren in Ordnung */

if ($error == FALSE) {

    $kdn = $row['kd_kdn'];

    session_register('kdn');

    echo "<meta http-equiv='Refresh' content='0; url=index.php'>";



} else {



    $tpl->load('content', 'login_form'); 

    $tpl->output();

}

?>

**Benny-one** · 20.09.2004, 12:07

sieht sicher aus.
wenn du noch in deiner php.ini register_globals = OFF; setzt, dann sollte es noch n tick sicherer sein.

**Schoppy** · 20.09.2004, 12:10

Da das Script bei einem anderen Provider läuft habe ich darauf leider keinen Einfluß...

register_globals = ON

**Benny-one** · 20.09.2004, 12:12

hmm, eigentlich auch nicht tragisch *fällt mir ein* da du ja explizit die daten per $_POST anforderst *g* also - sicher ^^

[Variablen] Sessionname von Hand ändern - ist das möglich?