Гость
Войти | Профиль | Очистить
Действия ...
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / php cookie произошла уязвимость !!! / 8 сообщений из 8, страница 1 из 1
30.09.2004, 09:17
    #32717982
копосов нв
копосов нв
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
php cookie произошла уязвимость !!!
Написана система (IE + IIS + PHP + Oracle) использующая для каждого пользователя cookie – запоминаю необходимые значения, количество для одного пользователя ~ 10. Что произошло? В системе одновременно работало человек ~25 (+-10) и удного user’a подставились cookie другого. Как такое могло произойти и как лечить? Такое ощущение что php (4.3.2) попутал сессию. И что интересно cookie живут на стороне клиента. Дайте плиз свои разъяснения.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.09.2004, 19:35
    #32719119
Ёшкин кот
Ёшкин кот
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
php cookie произошла уязвимость !!!
копосов нв В системе одновременно работало человек ~25 (+-10) и удного user’a подставились cookie другого.
Стоп! А вот с этого момента поподробнее, с чего ты это взял?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.10.2004, 18:36
    #32720737
копосов нв
копосов нв
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
php cookie произошла уязвимость !!!
всё просто: во всех файлах (*.php) данного проекта в самый вверх вставляется вот это:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
<?php
 if (isset($PERIODYEAR))
 {
  if (isset($PERIODMON))
  {
   if (isset($LOGIN))
   {
    if (isset($ACCESS_ADMIN_MODUL))
    {
     if ($ACCESS_ADMIN_MODUL=='1')
     {
      echo "<p ID=\"TEXT\" ALIGN=\"CENTER\"><b>$ais ЗА ПЕРИОД - ".$PERIODYEAR."-".$PERIODMON;
      echo "</b><br><font color=#FF0000>АДМИНИСТРАТОР - ".$LOGIN."</font></p>";
     }
     else
     {
      echo "<p ID=\"TEXT\" ALIGN=\"CENTER\"><b>$ais ЗА ПЕРИОД - ".$PERIODYEAR."-".$PERIODMON;
      echo "</b><br>ПОЛЬЗОВАТЕЛЬ - ".$LOGIN."</p>";
     }
    }
    else
    {?>
     Не определена переменная ACCESS_ADMIN_MODUL!
     <?php
    }
   }
   else
   {?>
    Не определён имя(LOGIN) пользователя.
    <?php
   }
  }
  else
  {?>
   Не определён месяц!
   <?php
  }
 }
 else
 {?>
  Не определён год!
  <?php
 }?>
что на экране выдаёт

УПРАВЛЕНИЕ ПОРУЧЕНИЯМИ ЗА ПЕРИОД - 2004-10
АДМИНИСТРАТОР - vasyapupkin

Когда пользователь загрузил страницу ему реально загрузились cookie другого, надпись была другая, но ладно бы запись ведь в куках есть параметры админа, что для меня не допустимо.

Может есть некие параметры в php.ini, которые нужны для недопущения такого. Жду ответа, подключайтесь все для обсуждения. Может кто-то из вас разложит механизм работы cookie.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.10.2004, 18:55
    #32720765
копосов нв
копосов нв
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
php cookie произошла уязвимость !!!
Да, у кого есть описание php.ini на русском языке. Поделитесь. nikol_2002@pisem.net
Заранее благодарен.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.10.2004, 21:40
    #32720902
*
*
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
php cookie произошла уязвимость !!!
Батенька, да у вас вообще кривой код. Для получения прав админа к любому скрипту я добавляю к URL строчку &PERIODYEAR=&PERIODMON=&LOGIN=&ACCESS_ADMIN_MODUL=1 и я уже админ.Когда пользователь загрузил страницу ему реально загрузились cookie другого, надпись была другаяСудя по коду - откровенная брехня, берущая своё происхождение от полного непонимания происходящего - читайте литературу в интернете, гугл вам в зубы.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
04.10.2004, 11:51
    #32721861
копосов нв
копосов нв
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
php cookie произошла уязвимость !!!
Прошу не критиковать код.
Дайте свои коментарии и описание php.ini на русском языке
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.10.2004, 18:08
    #32732893
копосов нв
копосов нв
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
php cookie произошла уязвимость !!!
ошибка повторилась, iis или php отработали неверно и выдали другому пользователю неверные данные. Литературу я читал. Помогите с проблемой.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
14.10.2004, 12:02
    #32737951
Sehensucht! (потерял пароль)
Sehensucht! (потерял пароль)
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
php cookie произошла уязвимость !!!
копосов нвПрошу не критиковать код.
Дайте свои коментарии и описание php.ini на русском языке

Замечание такое: использовать $_COOKIE

читать тут
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / php cookie произошла уязвимость !!! / 8 сообщений из 8, страница 1 из 1
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 473ms
Закрыть
start [/forum/topic.php?fid=23&tablet=1&tid=1479297]:
 0ms
get settings:
 10ms
get forum list:
 14ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 39ms
get topic data:
 13ms
get forum data:
 3ms
get page messages:
 46ms
get tp. blocked users:
 1ms
others: 339ms
total:  473ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]