necesito ayuda con mi cookie de sesion

Iniciado por tecasoft, 20 Febrero 2013, 19:09 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

tecasoft

20 Febrero 2013, 19:09 PM
wenas y gracias x responder ante todo, os explico el tema, mi web, tiene 2 campos, usuario y contraseña, acccedo mediante $_POST. Y me crea una cookie automaticamente de sesion, como puedo desde el principio configurarla para que no me hagan XSS etc etc, se el funcionamiento del XSS pero no se acceder a dicha cookie y manejarla, se crear cookies, pero no se acceder a esa desde el principio. Entenedeis que digo¿¿? que codigo es para acceder a ella?¿?


e mirado este link y muchos ejemplos de como me pueden robar cookies y se como funciona el funcionamiento pero no lo consigo acceder a la cookie que me crea el sistema automaticamente.

http://php.net/manual/es/function.setcookie.php
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

Shell Root

#1
20 Febrero 2013, 19:17 PM
Se supone que XSS es a nivel de javascript, consulta desde allí.... :https://www.owasp.org/index.php/Session_hijacking_attack
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

tecasoft

#2
20 Febrero 2013, 19:24 PM
es para que no me roben las cookies mediante javascript por eso hay un parametro en setcookie que te protege, yo digo de como acceder a esa cookie de sesion y modificarla sabes?¿
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

it3r

#3
20 Febrero 2013, 20:52 PM
Por lo que cuentas creo que te refieres al PHPSESSID.

Que es lo que quieres modificar de la cookie?, puede cambiar el nombre de PHPSESSID por el que quieras, puedes cambiarle el tiempo de expiración de la cookie, el path, etc.

Pero esas modificaciones no sirven para evitar un xss, la unica modifcación que se me ocurre es usar la cabecera httponly, que por lo que entendi es para evitar que mediante javascript se pueda leer o escribir en la cookie.

Httponly es una buena opción pero a mi parecer no es la optima, ya se han mostrado metodos para hacer bypass a este metodo.

La mejor forma de evitar un xss a mi parecer es, Validar todo lo que ingrese el usuario.

De todas formas te dejo el link de las opciones para modificar la id de session.

http://php.net/manual/en/session.configuration.php

Tienes que hacerlo mediante el php.ini, o mediante init_set.

Saludos

tecasoft

#4
21 Febrero 2013, 00:48 AM
gracias a todos x contestar, era desde el php.ini lo he modificado y va de lujo... ;-)  :silbar:
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
Imprimir
Ir Arriba Páginas1
Acciones del Usuario