Discussion :

[Sayrus]

Bonjour,

J'ai trouvé sur un site ce passage:

Les attaques par force brute (bruteforce)
Certains sites de e-Commerce emploient des numéros de session consécutifs et facilement prédictibles.

Sur ces sites, il est aisé de modifier son numéro de session pour voler la session d'un autre utilisateur.
Dans un tel scénario, toutes les fonctions qui étaient disponibles pour l'utilisateur piraté, le devienne pour l'attaquant et laissent libre cours aux tentatives de fraudes et au vol d'informations.

Vous pouvez vérifier la solidité de vos jetons de session ententant une attaque de brute force. Pour cela, ouvrez une session valide dans un navigateur et utilisez un outil de bruteforce de session comme Brutus.
Si ce dernier est capable de reprendre, plutôt que de " voler ", la session, votre plateforme de développement nécessite un degré d'entropie plus élevé pour la génération des jetons de session.

Je souhaiterais savoir comment celà pourrait être possible?

Si par exemple, j'ai une variable de session de type

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['niveau_access']=2

, est-il possible qu'un hacker modifie cette valeur?

Si oui, pouvez-vous m'expliquer comment? Car honnêtement je vois pas comment faire appart un manque de contrôle sur un cookie ou une session par url...

Merci!

[Mobius]

Une session est généralement identifié par un cookie contenant l'identifiant de la session.
En changeant la valeur de ce cookie sur ton navigateur et en mettant l'identifant d'une autre session valide, il est possible de "controler" l'autre session.

Tout le problème est donc d'avoir des identifiants de session unique et non prédictible afin qu'il sont très compliqué de deviner l'identifiant d'une autre session existante.

D'une manière générale, le cookie permettant d'identifier la session est géré directement par le serveur et n'est pas de la responsabilité du developpeur.
Tu n'as donc a priori aucun soucis a te faire de ce coté là (a part si tu as décidé de refaire toi même le mécanisme de session mis à disposition par le serveur).

En PHP, la variable $_SESSION correspont à la session géré par le serveur. Ce n'est pas toi qui gère son idenditiant. De plus les valeurs contenu dans la session ne sont à priori pas visible par l'utilisateur. Il n'est donc pas possible de modifier directement les valeurs stockés dans ta session.

[Sayrus]

C'est bien ce que je pensais, mais ce que j'ai lu m'a fait hésiter...

Donc super, me voilà soulagé!

Un grand merci!