アークウェブ
システム開発
SandBox
Web制作会社アークウェブのスタッフが、システム開発のTips・ノウハウをまとめているWikiです
アークウェブシステム開発SandBox
アークウェブWebマーケティングSandBox
アークウェブWebデザインSandBox
アークウェブ アクセシビリティWiki
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
Session Fixationの問題に遭遇したのでメモを残します。
**はじまり [#t0f787ce]
-たとえば、
<?php
session_start();
echo session_id();
?>
というプログラムがhttp://example.org/test.phpというURLに...
-このプラグラムに対して、
>http://example.org/test.php
<
と普通にアクセスすると、
>2e13ea2716bc048e030e6ac468743963
<
といったランダムなセッションIDが帰ります。
-次に、example.orgのクッキーを削除した後、このプログラム...
>http://example.org/test.php?PHPSESSION=12345
<
というURLでアクセスすると
>12345
<
と、帰ってきます。
-つまり、PHPSESSION=12345と、URL上にセッションIDを記述し...
>session_id($_GET[session_name()]);
<
が実行されたように、そのセッションIDが指定した値になって...
#blikimore
**なにが問題か [#mee1a6d5]
-たとえば、こんなことが可能になります。
++掲示板や、メールマガジンの中などに、悪意のある人がこう...
++それをAさんがたどると、AさんのセッションIDは「12345」と...
++Aさんがexample.org上のシステムでログインする
++その後、悪意のある人がそのURLをだとると、自分のセッショ...
**どう対処するのか [#x3798c50]
-初めてアクセスされた場合は、セッションIDをかならず再発行...
<?php
session_start();
if (!isset($_SESSION['initiated']))
{
session_regenerate_id();
$_SESSION['initiated'] = true;
}
echo session_id();
?>
>参考)
http://tinyurl.com/qeujl
http://phpsec.org/projects/guide/4.html#4.1
#blikifooter(志田)
#comment
tag: [[PHP>tag/PHP]], [[セキュリティ>tag/セキュリティ]]
終了行:
Session Fixationの問題に遭遇したのでメモを残します。
**はじまり [#t0f787ce]
-たとえば、
<?php
session_start();
echo session_id();
?>
というプログラムがhttp://example.org/test.phpというURLに...
-このプラグラムに対して、
>http://example.org/test.php
<
と普通にアクセスすると、
>2e13ea2716bc048e030e6ac468743963
<
といったランダムなセッションIDが帰ります。
-次に、example.orgのクッキーを削除した後、このプログラム...
>http://example.org/test.php?PHPSESSION=12345
<
というURLでアクセスすると
>12345
<
と、帰ってきます。
-つまり、PHPSESSION=12345と、URL上にセッションIDを記述し...
>session_id($_GET[session_name()]);
<
が実行されたように、そのセッションIDが指定した値になって...
#blikimore
**なにが問題か [#mee1a6d5]
-たとえば、こんなことが可能になります。
++掲示板や、メールマガジンの中などに、悪意のある人がこう...
++それをAさんがたどると、AさんのセッションIDは「12345」と...
++Aさんがexample.org上のシステムでログインする
++その後、悪意のある人がそのURLをだとると、自分のセッショ...
**どう対処するのか [#x3798c50]
-初めてアクセスされた場合は、セッションIDをかならず再発行...
<?php
session_start();
if (!isset($_SESSION['initiated']))
{
session_regenerate_id();
$_SESSION['initiated'] = true;
}
echo session_id();
?>
>参考)
http://tinyurl.com/qeujl
http://phpsec.org/projects/guide/4.html#4.1
#blikifooter(志田)
#comment
tag: [[PHP>tag/PHP]], [[セキュリティ>tag/セキュリティ]]
ページ名:
アークウェブのサービスやソリューションはこちら
サービス
Webの企画・戦略立案
Webデザイン
Webシステム開発
Zen Cartソリューション
Zen Cart導入コンサルティング, RFP作成, トラブル診断
Zen Cartで大規模ECサイト構築
Zen Cartモジュールの開発・カスタマイズ
Zen Cart制作会社(デザイン・企画会社)様向けサービス
Zen Cart海外向け・多言語ECサイトの制作
Zen Cartのデザイン, ペルソナ/シナリオ法, RIA(Ajax・Flex)
Zen Cartのセキュリティ・運用保守サポート
Zen Cart企画・マーケティング戦略, SEO・SEM(サーチエンジン広告)
Zen Cartハイエンド版(大規模サイト用高可用バージョン)
EC-CUBEとZen Cart 機能比較表(概要)
Zen Cart携帯モジュール(モバイルショップ構築用)
Zen Cartの導入事例
Zen-Cart.JPのご紹介とアークウェブの取り組み
Zen-Cartモバイルショップ構築サービス
Movable Typeソリューション
企業サイトでのMovable Type活用
Movable Type用プラグイン一覧
MT用フォーム作成プラグイン「A-Form」
A-Formパートナー制度
その他ソリューション
AjaxでRIA開発
Ruby on Rails
Flexによる業務システム構築
ペルソナ/シナリオ法
ビジネスブログ
SNS・ソーシャルソフトウェア
SEO・SEM
アークウェブのCSR(企業の社会的責任)
アークウェブのCSR指針