Visualizzazione risultati 1 fino 7 di 7
Like Tree1Likes
  • 1 Post By javascripter

Discussione: Session Hijacking

  1. #1
    Guest

    Exclamation Session Hijacking

    Altervista permette di modificare il file php.ini per settare le session configurations in modo da limitare hijacking o questo tipo di impostazioni è già settata di default?

    es. session configurations:
    Codice PHP:
    session.cookie_httponly = 1 (aiuta a mitigare XSS)
    session.session.use_only_cookies = 1 (impedisce la fissazione della sessione)
    session.entropy_file = "/dev/urandom" (migliore fonte di entropia)
    session.cookie_lifetime = 0 (sfruttamento minore per XSS / CSRF / clickjacking...)
    session.cookie_secure = 1 (violazioni A9 OWASP)

  2. #2
    Guest

    Predefinito

    Wow è vero che ho poche views ma possibile che nessuno sappia rispondermi o sono io che mi sto rivolgendo al posto sbagliato?

  3. #3
    L'avatar di javascripter
    javascripter non è connesso Moderatore
    Data registrazione
    14-02-2010
    Messaggi
    1,114

    Predefinito

    Non puoi modificare il file php.ini.
    Personalmente, non so il valore di quelle configurazioni, ma per darti almeno una risposta ho cercato risposte nella funzione ini_get.

    L'output è stato:
    Codice:
    session.cookie_httponly = string(0) ""
    session.session.use_only_cookies = Non impostato
    session.entropy_file = string(0) ""
    session.cookie_lifetime = string(1) "0"
    session.cookie_secure = string(0) ""
    Lo script (giusto per farti capire cosa ho fatto):
    Codice PHP:
    <?php
    header
    ('Content-Type: text/plain; charset=ISO-8859-1');
    $names = array('session.cookie_httponly', 'session.session.use_only_cookies', 'session.entropy_file', 'session.cookie_lifetime', 'session.cookie_secure');

    foreach(
    $names as $name) {
    $value = ini_get($name);
    echo
    $name, ' = ';
    if(
    $value === false)
    echo
    'Non impostato', PHP_EOL;
    else
    var_dump($value);
    }
    ?>
    Ultima modifica di javascripter : 10-05-2014 alle ore 16.14.26
    karl94 likes this.

  4. #4
    Guest

    Predefinito

    Grazie della risposta.
    Dai risultati che mi hai dato capisco però che le impostazioni minime per contrastare l'hijackin non sono attive...
    Quindi se come dici tu non è possibile impostrle l'unica soluzione sarebbe utillizzare una connesione https per evitare sniffing di ogni genere su altervista ?
    Ultima modifica di justsofts : 10-05-2014 alle ore 16.50.58

  5. #5
    L'avatar di javascripter
    javascripter non è connesso Moderatore
    Data registrazione
    14-02-2010
    Messaggi
    1,114

    Predefinito

    La mia non è una certezza, bisognerebbe avere una risposta da parte dello staff tecnico di altervista.
    Intanto prova a fare una richiesta qui (di controllo e/o modifica delle impostazioni): http://forum.it.altervista.org/servizi/ che è la sezione più appropriata per proporre cambiamenti/aggiunte.

  6. #6
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,744

    Predefinito

    Citazione Originalmente inviato da justsofts Visualizza messaggio
    Grazie della risposta.
    Dai risultati che mi hai dato capisco però che le impostazioni minime per contrastare l'hijackin non sono attive...
    Quindi se come dici tu non è possibile impostrle l'unica soluzione sarebbe utillizzare una connesione https per evitare sniffing di ogni genere su altervista ?
    Non capisco esattamente quali sono le tue esigenze, l'impostazione di session.cookie_secure implicherebbe già l'obbligo di usare una connessione cifrata...

  7. #7
    Guest

    Predefinito

    I mio intento era quello di limitare al massimo ogni possibilità di hijackin/xss (per un mio sito) e facendo una ricerca su google ho trovato quei settings che ho postato prima su stack exchange , ma c'era un problema ,perchè sempre ammesso che fossero corrette bisognava modificare alcuni parametri del file php.ini e siccome questa operazione non è possibile volevo sapere se fossero già impostate di default...
    Nel caso siano scorrette accetto volenieri altri consigli su come implementare questo mio intento.

Tags for this Thread

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •