Session Hijacking

Printable View

30-04-2014, 18.34.42

Session Hijacking

Altervista permette di modificare il file php.ini per settare le session configurations in modo da limitare hijacking o questo tipo di impostazioni è già settata di default?

es. session configurations:

Codice PHP:

session.cookie_httponly = 1 (aiuta a mitigare XSS) session.session.use_only_cookies = 1 (impedisce la fissazione della sessione) session.entropy_file = "/dev/urandom" (migliore fonte di entropia) session.cookie_lifetime = 0 (sfruttamento minore per XSS / CSRF / clickjacking...) session.cookie_secure = 1 (violazioni A9 OWASP)
10-05-2014, 15.00.02

Wow è vero che ho poche views ma possibile che nessuno sappia rispondermi o sono io che mi sto rivolgendo al posto sbagliato?
10-05-2014, 16.11.46
javascripter

Non puoi modificare il file php.ini.
Personalmente, non so il valore di quelle configurazioni, ma per darti almeno una risposta ho cercato risposte nella funzione ini_get.

L'output è stato:

Codice:

session.cookie_httponly = string(0) "" session.session.use_only_cookies = Non impostato session.entropy_file = string(0) "" session.cookie_lifetime = string(1) "0" session.cookie_secure = string(0) ""

Lo script (giusto per farti capire cosa ho fatto):

Codice PHP:

<?php header('Content-Type: text/plain; charset=ISO-8859-1'); $names = array('session.cookie_httponly', 'session.session.use_only_cookies', 'session.entropy_file', 'session.cookie_lifetime', 'session.cookie_secure'); foreach($names as $name) { $value = ini_get($name); echo $name, ' = '; if($value === false) echo 'Non impostato', PHP_EOL; else var_dump($value); } ?>
10-05-2014, 16.41.43

Grazie della risposta.
Dai risultati che mi hai dato capisco però che le impostazioni minime per contrastare l'hijackin non sono attive...
Quindi se come dici tu non è possibile impostrle l'unica soluzione sarebbe utillizzare una connesione https per evitare sniffing di ogni genere su altervista ?
10-05-2014, 20.26.22
javascripter

La mia non è una certezza, bisognerebbe avere una risposta da parte dello staff tecnico di altervista.
Intanto prova a fare una richiesta qui (di controllo e/o modifica delle impostazioni): http://forum.it.altervista.org/servizi/ che è la sezione più appropriata per proporre cambiamenti/aggiunte.
10-05-2014, 21.42.27
karl94

Citazione:

Originalmente inviato da justsofts

Grazie della risposta.
Dai risultati che mi hai dato capisco però che le impostazioni minime per contrastare l'hijackin non sono attive...
Quindi se come dici tu non è possibile impostrle l'unica soluzione sarebbe utillizzare una connesione https per evitare sniffing di ogni genere su altervista ?

Non capisco esattamente quali sono le tue esigenze, l'impostazione di session.cookie_secure implicherebbe già l'obbligo di usare una connessione cifrata...
10-05-2014, 22.36.55

I mio intento era quello di limitare al massimo ogni possibilità di hijackin/xss (per un mio sito) e facendo una ricerca su google ho trovato quei settings che ho postato prima su stack exchange , ma c'era un problema ,perchè sempre ammesso che fossero corrette bisognava modificare alcuni parametri del file php.ini e siccome questa operazione non è possibile volevo sapere se fossero già impostate di default...
Nel caso siano scorrette accetto volenieri altri consigli su come implementare questo mio intento.