Qualcuno sta cercando di sfruttare una vulnerabilità?

1

Sul nostro sito Web, quando viene rilevato un ID di sessione PHP non valido, viene registrato e rigenerato.

Questa sessione non valida è stata registrata:

n040jl1nujch72tkrmr0uilnl1, s_vi=[CS]v1|2A19B9B4853135D2-60000109E00013F4[CE]

Qualcuno sta cercando di sfruttare una vulnerabilità?

Questo è il modo corrente di rigenerazione dell'ID

// If it's invalid, generate a new ID.
$chars="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789,-";
srand((double)microtime()*1000000);
$i = 0;
$pass = '' ;
while ($i<=35){
    $num  = rand() % 33;
    $tmp  = substr($chars, $num, 1);
    $pass = $pass . $tmp;
    $i++;
}
session_id($pass);

Ma nei prossimi giorni, stiamo aggiornando la base di codice per utilizzare questo è necessario rigenerare.

session_id(uniqid());
    
posta TMH 10.10.2014 - 10:56
fonte

1 risposta

1

Scrivi nei log quali ID di sessione sono generati?

Forse l'utente 'buono' ha ottenuto questo ID di sessione dall'applicazione, ma l'applicazione 'ha dimenticato' di questo? (perché la sessione scade o perché l'applicazione è stata riavviata, il server è stato riavviato)

L'id delle sessioni di indovinello semplice poche volte non è un ottimo modo per hackerare il sito, forse alcuni strumenti come Splunk potrebbero aiutarti molto. (ad esempio, può mostrare che il 99% di errore di ID di sessione non valido proviene da richieste da un singolo IP, quindi sarebbe davvero sospetto).

    
risposta data 10.10.2014 - 14:38
fonte

Leggi altre domande sui tag