[Resuelto] Ayuda con cookie

Varlch · 17 Diciembre 2014, 01:02 AM

Tengo una web que crea una cookie así

$_SESSION['login'] = $iduser; y obtienes como resultado esta cookie

CitarPHPSESSID=ff2a567e17e44ede3f2397bdfce2e366

querría saber si se puede modificar la cookie para poner otro id de usuario ¿no se si me explico?

engel lex · 17 Diciembre 2014, 01:07 AM

Lo que hace php es generar un numero aleatorio, saca el sha de eso, asi que tendrias que saber el phpsessid previamente, por fuerza bruta es dificil

Varlch · 17 Diciembre 2014, 01:22 AM

Entonces es seguro. Había visto un script que lo deshacía pero no se igual no era eso.

engel lex · 17 Diciembre 2014, 01:23 AM

Pero robar la cookie es super facil, por eso se usa una combinación de técnicas, preferiblemente el browser fingerprinting

Varlch · 17 Diciembre 2014, 01:36 AM

ya to me refería a crear una propia.

engel lex · 17 Diciembre 2014, 01:43 AM

Un metodo propio? Eso + local storage + canvas fingerprinting :p es lo mas simple de aplicar

Varlch · 17 Diciembre 2014, 02:14 AM

No me referia a que sabiendo que

Código [Seleccionar]

$_SESSION['login'] = $iduser; crear una cookie con cualquier id para injertar y obtener conexión como otro usuario.

#!drvy · 17 Diciembre 2014, 02:22 AM

Ya te lo explique en el IRC. No es posible. Ese ID que ves (el PHPSSID) es solo una referencia "aleatoria" unica que apunta a un archivo en el propio servidor. Incluso aunque te inventes otro PHPSSID tu mismo, PHP no encontrara el archivo en el servidor y no lo aceptara. Otra cosa es que "casualmente" le robes la session a alguien xD

Saludos