[Cookies] Test de vol de session

freesurfer · 18/10/2006, 16h15

Bonjour,

J'essaie de mettre en place un script pour contrer les vols de session.
Mais je me retrouve devant le problème du TEST. Comment tester un vol de session ?
J'utilise les sessions PHP et j'ai sur mon ordi IE et FIREFOX. Comment puis-je faire pour avoir la meme session (meme id) sur les deux browsers ?

Tournevyks · 18/10/2006, 16h21

Ca dépend ? Tu gères les sessions par Cookie ou par GET ?
Si c'est par GET, il te suffit de recopier le PHPSESSID.
Par cookie, il faut avoir le même cookie sur les deux navigateurs.

freesurfer · 18/10/2006, 16h33

Citation:

Envoyé par Tournevyks

Ca dépend ? Tu gères les sessions par Cookie ou par GET ?
Si c'est par GET, il te suffit de recopier le PHPSESSID.
Par cookie, il faut avoir le même cookie sur les deux navigateurs.

Je gere les session par Cookie. Ok pour le meme cookie sur les deux navigateurs. Mais avec IE il ne me crée pas de cookie lors de la session, enfin du moins il ne me crée pas de fichier dans le repertoire cookies. Idem dans le fichier cookies.txt de firefox

alain31tl · 19/10/2006, 00h14

Citation:

Envoyé par freesurfer

Je gere les session par Cookie. Ok pour le meme cookie sur les deux navigateurs. Mais avec IE il ne me crée pas de cookie lors de la session, enfin du moins il ne me crée pas de fichier dans le repertoire cookies. Idem dans le fichier cookies.txt de firefox

Salut

Faudrait savoir :
Tu géres les sessions par cookie ou bien comme tu l'a dit au départ :

Citation:

Envoyé par freesurfer

......J'utilise les sessions PHP .......

C'est pas la même chose.
Les cookies, c'est côté poste utilisateur
Les sessions php, c'est côté serveur.

freesurfer · 19/10/2006, 14h46

Oui je sais merci,
Mais en gestion de session PHP il y a bien l'ID de session quelque part coté client. Non ?
Je parle des cookies car sous firefox, l'id de session peut etre visualisé dans l'onglet cookies au niveau des options. D'ou ma derniere remarque. J'ai peut etre fait un racourci un peu trop rapide.

Mais la question demeure. Comment mettre le meme id de session sous deux navigateurs differents.

alain31tl · 19/10/2006, 16h20

Citation:

Envoyé par freesurfer

Oui je sais merci,
Mais en gestion de session PHP il y a bien l'ID de session quelque part coté client. Non ?

Non, je me répête....côté serveur.

Tournevyks · 19/10/2006, 18h04

Citation:

Envoyé par alain31tl

Non, je me répête....côté serveur.

Oui, côté serveur.
Mais aussi côté client.
Au premier appel à session_start(), le serveur génère un identifiant de session, qu'il envoie par cookie au navigateur (Du moins dans le cas de freesurfer). Et sur chaque page, le navigateur renvoie au serveur l'identifiant de session, stocké dans le cookie.

freesurfer, pour ton test, voilà ce que tu peux faire : Essaie d'accéder à ta page avec l'url tonscript.php?PHPSESSID=cequetuveux, avec IE et Mozilla.

alain31tl · 19/10/2006, 20h55

Alors jette un oeil si t'es sûr de toi.

zyongh · 19/10/2006, 21h10

Citation:

Envoyé par Tournevyks

qu'il envoie par cookie au navigateur

Donc, comme tu le prouves toi-même, côté client = cookie et côté serveur = session.

Donc alain31dl et toi êtes d'accord...

freesurfer · 20/10/2006, 09h49

Citation:

Envoyé par Tournevyks

Oui, côté serveur.
Mais aussi côté client.
Au premier appel à session_start(), le serveur génère un identifiant de session, qu'il envoie par cookie au navigateur (Du moins dans le cas de freesurfer). Et sur chaque page, le navigateur renvoie au serveur l'identifiant de session, stocké dans le cookie.

freesurfer, pour ton test, voilà ce que tu peux faire : Essaie d'accéder à ta page avec l'url tonscript.php?PHPSESSID=cequetuveux, avec IE et Mozilla.

Ok je vais utiliser le trans_sid pour faire mon test. Oui c'est vrai que pour mes tests ca aura le meme effet. Merci Tournevyks. Bon maintenant faut que je trouve si on peut activer le session.use_trans_sid depuis le script car je suis en mutu et il est a OFF.

Mais comment font les gars qui piquent les id de session quand on bloque le trans_sid ?

kankrelune · 20/10/2006, 13h04

Citation:

Envoyé par freesurfer

Mais comment font les gars qui piquent les id de session quand on bloque le trans_sid ?

Bah ils mettent la main à la pate et il créent un cookie... .. .

ou alors ils travaillent directement sur les en têtes http envoyées au serveur... .. .

@ tchaOo°

Djakisback · 20/10/2006, 13h22

Salut,
est-ce que tu pourrais m'en dire plus sur ta méthode de sécurité ?
(car j'imagine que tu n'utilises pas l'ip du client étant donné que tu peux faire tes tests sur la même machine)
Merci

freesurfer · 20/10/2006, 13h55

Citation:

Envoyé par Djakisback

Salut,
est-ce que tu pourrais m'en dire plus sur ta méthode de sécurité ?
(car j'imagine que tu n'utilises pas l'ip du client étant donné que tu peux faire tes tests sur la même machine)
Merci

Salut,

Je fais rien de bien mechant, je crée un cookie coté client avec un md5 et je le mets aussi coté serveur dans la base et dans la session. et à chaque page, je compare ces 3 valeurs et si c'est ok je regenere un autre md5 que je renvoie dans le cookie, la base, et la session. Je fais pas de test d'ip a cause des utilisateurs d'AOL.
De toutes facons la seule vraie solution c'est le https

18/10/2006, 16h15	#1
freesurfer Candidat au titre de Membre du Club Inscription : mars 2004 Messages : 19 Détails du profil Informations forums : Inscription : mars 2004 Messages : 19 Points : 10 Points : 10	[Cookies] Test de vol de session Bonjour, J'essaie de mettre en place un script pour contrer les vols de session. Mais je me retrouve devant le problème du TEST. Comment tester un vol de session ? J'utilise les sessions PHP et j'ai sur mon ordi IE et FIREFOX. Comment puis-je faire pour avoir la meme session (meme id) sur les deux browsers ?
	00

19/10/2006, 20h55	#8
alain31tl Membre émérite Alain Inscription : novembre 2005 Messages : 897 Détails du profil Informations personnelles : Nom : Alain Localisation : France, Haute Garonne (Midi Pyrénées) Informations forums : Inscription : novembre 2005 Messages : 897 Points : 910 Points : 910	Alors jette un oeil si t'es sûr de toi. __________________ Ce n'est pas parce que les choses sont difficiles qu'on n'ose pas les entreprendre. C'est parce qu'on n'ose pas les entreprendre qu'elles sont difficiles.
	00

18/10/2006, 16h21	#2
Tournevyks Nouveau Membre du Club Inscription : juin 2006 Messages : 41 Détails du profil Informations forums : Inscription : juin 2006 Messages : 41 Points : 27 Points : 27	Ca dépend ? Tu gères les sessions par Cookie ou par GET ? Si c'est par GET, il te suffit de recopier le PHPSESSID. Par cookie, il faut avoir le même cookie sur les deux navigateurs.
	00

19/10/2006, 14h46	#5
freesurfer Candidat au titre de Membre du Club Inscription : mars 2004 Messages : 19 Détails du profil Informations forums : Inscription : mars 2004 Messages : 19 Points : 10 Points : 10	Oui je sais merci, Mais en gestion de session PHP il y a bien l'ID de session quelque part coté client. Non ? Je parle des cookies car sous firefox, l'id de session peut etre visualisé dans l'onglet cookies au niveau des options. D'ou ma derniere remarque. J'ai peut etre fait un racourci un peu trop rapide. Mais la question demeure. Comment mettre le meme id de session sous deux navigateurs differents.
	00

20/10/2006, 13h22	#12
Djakisback Membre Expert Inscription : février 2005 Messages : 1 797 Détails du profil Informations forums : Inscription : février 2005 Messages : 1 797 Points : 1 688 Points : 1 688	Salut, est-ce que tu pourrais m'en dire plus sur ta méthode de sécurité ? (car j'imagine que tu n'utilises pas l'ip du client étant donné que tu peux faire tes tests sur la même machine) Merci
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email