|
Разделы сайта
|
Главнаяwm-help.net -> Статьи из журнала -> Программирование -> Безопасное програмирование на PHP. Кража сессии.
Безопасное програмирование на PHP. Кража сессии. |
||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
В настоящий момент ни одно серьёзное Web-приложение не
обходится без использования механизма сессий. Наиболее распрастранено
использование сессий для разграничения доступа пользователей к личным ресурсам.
Рассмотрим типичный процесс авторизации с использованием сессии. У пользователя запрашивается логин и пароль. Если авторизация проходит успешно, то создается новая сессия, со значением "успешной авторизации". Пользователю назначается уникальный идентификатор (SID), который заранее невозможно предсказать, а, значит, и подобрать :). SID записывается либо в cookies браузера, либо передается через адресную строку браузера (если cookies отключены). В результате успешной авторизации скрипту становится доступными значения переменных из суперглобального массива $_SESSION, по наличию которых скрипт предоставляет доступ к некоторому ресурсу, например, вход на панель администрирования сайта. Проблема заключается в том, что если злоумышленник каким-либо образом узнает SID другого пользователя, он сможет подставить его в свои cookies, или адресную строку браузера и войти на сайт с правами данного пользователя. Замечание
В настоящее время SID представляет уникальную последовательность цифр и букв, не привязанную к счётчику. Но как же злоумышленик узнает чужой SID? Существуют два самых распространенных варианта: 1. Например, владелец сессии сам показал ее, неосторожно оставив ссылку такого типа где-нибудь на форуме или гостевой книге.
Переход по этому адресу, автоматически наделяет злоумышленника правами пользователя для которого выделена сессия с идентификатором 01c1739de76ed46e639cd23d33698121. Конечно, сессия пользователя уничтожается при отсутствии активности через некоторое время. И поэтому злоумышленнику следует поторопиться :). С другой стороны тотальная распространённость пауков (спайдеров) позволяет организовать целеноправленный автоматический поиск таких ссылок. 2. Если даже сессия не указана явно в строке браузера, а хранится в Куках. У злоумышленика все равно есть возможность завладеть идентификатором. Рассмотрим небольшой скрипт простейшей гостевой книги.
Содержимое обработчика addmsg.php представлено ниже
Обратите внимание - в скрипте явно пропущен вызов функции htmlspecialchars(), которая преобразует символы < в < и > в > в результате чего, злоумышленник может вставить в текст любые HTML-теги и скрипты JavaScript.
И что мы получаем? Маленькая оплошность (казалось бы пропустили всего лишь какой-то htmlspecialchars() перед выводом сообщения в браузер), которая позволяет загружать в новом окне страницу злоумышленика, передавая ей значения из cookies. Для борьбы с уязвимостями такого рода лучше всего бороться "устойчивыми" методами, действуя по принципу "всё что не разрешено - запрещено". Не следует скрывать SID и подвергать текст многоэтапным проверкам - вероятность создания ошибок в этом случае только возрастает. Более надёжным в этом случае является метод привязки SID к IP-адресу, пользователя владеющего сессией. Такой способ широко распространен во многих известных форумах, например phpBB. Скрипт авторизации
Тогда скрипт, который предоставляет доступ к определенному ресурсу, может содержать следующий код
Т.е. теперь с данной сессией может работать только тот пользователь, IP-адрес которого совпадает с IP-адресом, переданным серверу при авторизации. Если злоумышленик перехватит сессию, IP-адрес то у него другой :) - поэтому в доступе ему будет отказано. Данный метод не является универсальным и у него тоже есть слабые места. Если пользователь и злоумышленик выходят в Интернет через общий прокси-сервер, то они будут иметь один общий IP-адрес (это характерно для сетей университетов, заводов и других крупных учреждений), т.е. каждый может украсть SID соседа, хотя бы вышеуказанными методами. Если пользователь использует модем, и произойдет обрыв связи, то после восстановления связи, ему скорее всего будет назначен другой IP-адрес. Пользователь может быть неприятно удивлён, если он будет огульно зачислен в ряды злоумышленников (поэтому писать угрозы и призывы к совести в системах защиты не стоит - в таких системах тоже бывают ошибки). Последний недостаток имеет место на форумах, посетители которых имеют привычку при наборе длинного ответа отключать Интернет и работать offline. Нажатие на кнопку "Ответить" приводит к тому, что вся набраная информация теряется, так как никто не заботится о том, что бы сохранять текст набранный злоумышлеником :))). Выход: (вернее полу выход) Проверять на идентичность только первые 3 цифры IP адреса, кража SID по-прежднему статистически маловероятна, однако это в большинстве случаев, позволяет более мягко отнестись к разрыву соединения, так как провайдерам обычно выделяют неразрывный диапазон IP-адресов, в котором меняется только последняя цифра. |
||||||||||||||||||
Список похожих статей
- Безопасное программирование веб-приложений на языке PHP (Ранг: 3 )
- Примеры простейших скриптов на PHP (Ранг: 2 )
- Приемы безопасного программирования веб-приложений на PHP (Ранг: 2 )
- Сжатие данных на PHP (Ранг: 2 )
- RSS-парсер на PHP (Ранг: 2 )
- PHP. Оптимизация программ на PHP (Ранг: 2 )
- Установка Apache, MySql, Php на локальном компьютере (Ранг: 2 )