Session hijacking | CriminalsPoint


$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];



if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])

{

    echo("Session Hijacking detected!");

    die();

}

$_SESSION['ip'] wordt tijdens het inloggen gezet.

19-12-2010 17:46

Dit topic is 208 keer bekeken door 31 verschillende leden

Reacties op: "Session hijacking"

Killingdevil

Berichten: 2123

Het code voorbeeld zoals je het nu geeft natuurlijk niet. Maar jou uitleg doet me vermoeden dat regel 1 alleen bij het inloggen wordt uitgevoerd. En in dat geval is dit inderdaad in zekere zin een oplossing voor session hijaking.

Je koppelt nu de session aan het IP-adres waardoor de sessie slechts onder dat IP-adres werkt. Dit brengt echter wel nadelen met zich mee en is geen algehele oplossing voor het probleem. Doordat de sessie nu IP-gebonden is kunnen dynamische IP-adressen een probleem worden. Daarnaast helpt dit natuurlijk niet wanneer de aanvaller onder hetzelfde IP-adres kan opereren als het slachtoffer.

Hoewel een 100% oplossing voor session hijaking helaas niet mogelijk is zijn er meer technieken om je er tegen te wapenen. Zo kun je session id's met iedere request vernieuwen, wat session hijaking een stuk moeilijker maakt. Zie hiervoor session_regenerate_id.

De beste oplossing is preventief te werk gaan in plaats van repressief. Zorg dus dat je website goed is gecontroleerd op XSS lekken.

19-12-2010 18:32

Jackie

Hardstyle

Berichten: 225

Oke bedankt daar kan ik wel genoeg mee.

Voor beveiliging gebruik in addslashes, stripslashes en htmlentities.

Zo kan je XSS hacking toch wel tegengaan?

19-12-2010 18:42

Reageer op: "Session hijacking"

Je kan niet reageren omdat je niet bent ingelogd. Inloggen of Aanmelden