@ds00lon

Может ли как то Кука навредить сайту?

  1. Если пришедшая кука не отправляется в mysql и не используется в запросе к базе, а лишь используется в php коде может ли злоумышленник как то навредить сайту?
  2. Может ли злоумышленник навредить сайту посылая кукисы с именами(кукисов) которые в не используются на сайте и не обрабатываются соответственно? (Например на сайте используется только кук login:, А он оправит еще a1:adfksklf )
  3. Если злоумышленник подставит в PHPSESSID свое значение например код какой то это может навредить сайту?

  • Вопрос задан
  • 304 просмотра
Решения вопроса 3
mahoho
@mahoho
Full stack certified PHP developer.
Цитата из документации:
С версии PHP 5.5.2 доступна опция session.use_strict_mode. При ее включении и при условии, что модуль сохранения сессий ее поддерживает, неинициализированный сессионный ID отвергается и создается новый. Это защищает от атак, которые принуждают пользователя использовать заранее известный ID. Атакующий может размещать ссылки или отправлять письма, которые содержат сессионный ID. Например example.com/page.php?PHPSESSID=123456789 . Если опция session.use_trans_sid включена, то жертва откроет сессию с этим идентификатором. Опция session.use_strict_mode уменьшает этот риск.

Так вот эта настройка по умолчанию выключена. Это означает, что если при таком раскладе вам начнут присылать несколько таких запросов в секунду, каждый из которых открывает новую сессию, вы очень быстро упретесь в предел количества открытых файлов (потому что session.save_handler по умолчанию files):
cat /proc/sys/fs/file-max
Почитайте раздел PHP про безопасность сессий, там много интересного.
Ответ написан
In4in
@In4in
°•× JavaScript Developer ^_^ ו°
1. Смотря как она будет обрабатываться на стороне PHP и какую роль играть.

Если, к примеру, в куке ожидается число от 0 до 5, а на самом деле записано, к примеру 10 или вообще строка, нужно уметь это дело правильно обработать, без ошибок.

Но как правило, куки используют для хранения каких-то деталей в плане интерфейса, настроек и тому подобной мелочи, изменяющейся юзером, которая никак не может навредить сайту внутри. Иногда, правда, хранятся результаты сложных одноразовых расчетов, но опять же, не тех, что отвечают за безопасность.

2. Нет.

3. Если только ему удастся чудом подобрать существующее.
Ответ написан
edli007
@edli007
full stack, team lead
Если речь идет именно о PHPSESSID, для каждой сессии можно дополнительно запомнить и сравнивать инфу о браузере\ип адресе, тогда вероятность подбора крайне мала.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы