I contenuti delle sessioni PHP sono di valore forensi?

0

PHP ha alcuni builtin carini e accurati per gestire le sessioni: ci sono le funzioni session_start() e session_id() e session_destroy() , che funzionano con una variabile superglobale, $_SESSION , per memorizzare coppie nome / valore. Cosa potrebbe volere di più un programmatore?

Per quanto posso dire, il comportamento predefinito di PHP è di mantenere il contenuto delle sessioni nei file, su Linux, sotto /tmp/ , ma sembra che questo possa essere modificato in php.ini . I contenuti di questi file di sessione sono mai usati in modo forense per capire cosa è successo?

    
posta Bruce Ediger 04.08.2018 - 07:02
fonte

2 risposte

1

Indipendentemente dal fatto che la sessione PHP abbia dati utili dal punto di vista forense in realtà dipende dal tipo di informazioni che l'applicazione memorizza nella sessione. Quindi sì, se le applicazioni memorizzano informazioni utili nella sessione (che è abbastanza comune), i file di sessione contengono dati utili.

    
risposta data 04.08.2018 - 10:52
fonte
0

Potevo vedere i vantaggi della sorveglianza di massa che intercettava le sessioni di PHP per tracciare i movimenti esatti di quel singolo utente. Tuttavia, vedrei più vantaggio nell'utilizzare i cookie del browser Web per la sorveglianza mirata.

Questo ha detto che potrei prevedere di utilizzare i dati della sessione PHP per decodificare il modo in cui il file php.ini è configurato. Lavorando da lì, meglio comprendo la configurazione di php.ini più mi avvicino a trovare una vulnerabilità con il server PHP. PHP: Sessioni - Manuale . PHP Garbage collector .

Are the contents of these session files ever used forensically

Non ho visto gli scenari per la scientifica digitale delle sessioni di PHP. Tuttavia, ogni sessione ha un ID univoco che potrebbe essere utilizzato per eseguire una sorveglianza mirata di un individuo. Tuttavia, ciò funzionerà solo se vengono memorizzati sufficienti registri affinché l'ID di sessione sia abbinato ai dati di sessione e, normalmente, i server non gestiscono l'intercettazione completa di take (metadati e contenuti). Nonostante non abbia risposto direttamente alla domanda L'analisi forense della riga di comando di PHP.net potrebbe dare qualche idea.

Cookie Examiner analisi forense . Questo dovrebbe delineare il tipo di metadati che ci aspettiamo per l'esecuzione di analisi dei dati forensi.

    
risposta data 04.08.2018 - 10:04
fonte

Leggi altre domande sui tag