Ci sono moduli per rafforzare le sessioni di Symfony 2?

3

Stiamo cercando di creare una nuova app su Symfony 2, ma la sicurezza è la nostra priorità principale. Dopo aver scavato un po ', sembra che ci siano un numero di opzioni built-in per la gestione delle sessioni (es. PDO, null, Mongo, ecc.), Ma nessuna di queste riguarda cose come la verifica di ip, user agent, ecc.

A titolo di test, ho avviato una sessione su una macchina e effettuato l'accesso. In un'altra, ho creato un cookie con PHPSESID corrispondente e ho potuto accedere a tutte le aree protette.

    
posta Bryan Agee 29.01.2013 - 21:31
fonte

1 risposta

2

Quello che stai descrivendo è un dirottamento di sessione. Questo non è qualcosa a cui un gestore di sessioni può difendersi. I folli tentativi di controllare l'user-agent sono banali da bypassare. Limitare la sessione a un indirizzo IP renderà l'applicazione inaccessibile agli utenti legittimi dietro un bilanciamento del carico, consentendo comunque l'accesso agli aggressori sulla stessa rete locale. Le applicazioni Web prevengono il dirottamento delle sessioni risolvendo vulnerabilità quali la creazione di script tra siti, la risoluzione delle sessioni e OWASP a9. (Non dimenticare CSRF aka "Session Riding").

È possibile abilitare le funzionalità di sicurezza basate su browser per proteggere il cookie con la seguente configurazione PHP:

session.cookie_httponly=1
session.cookie_secure=1
session.use_only_cookies=1 
    
risposta data 29.01.2013 - 22:20
fonte

Leggi altre domande sui tag