Может ли как то Кука навредить сайту?

Question

[ds00lon]

1. Если пришедшая кука не отправляется в mysql и не используется в запросе к базе, а лишь используется в php коде может ли злоумышленник как то навредить сайту?
   
2. Может ли злоумышленник навредить сайту посылая кукисы с именами(кукисов) которые в не используются на сайте и не обрабатываются соответственно? (Например на сайте используется только кук login:, А он оправит еще a1:adfksklf )
   
3. Если злоумышленник подставит в PHPSESSID свое значение например код какой то это может навредить сайту?
   
   

Comments

[Владислав Копылов]

Тут нужно смотреть на конкретном примере. Погуглите XSS атаки

Answer 1

[Aleksey Ratnikov]

Цитата из документации:

С версии PHP 5.5.2 доступна опция session.use_strict_mode. При ее включении и при условии, что модуль сохранения сессий ее поддерживает, неинициализированный сессионный ID отвергается и создается новый. Это защищает от атак, которые принуждают пользователя использовать заранее известный ID. Атакующий может размещать ссылки или отправлять письма, которые содержат сессионный ID. Например example.com/page.php?PHPSESSID=123456789 . Если опция session.use_trans_sid включена, то жертва откроет сессию с этим идентификатором. Опция session.use_strict_mode уменьшает этот риск.

Так вот эта настройка по умолчанию выключена. Это означает, что если при таком раскладе вам начнут присылать несколько таких запросов в секунду, каждый из которых открывает новую сессию, вы очень быстро упретесь в предел количества открытых файлов (потому что session.save_handler по умолчанию files):
cat /proc/sys/fs/file-max
Почитайте раздел PHP про безопасность сессий, там много интересного.

Comments

[ds00lon]

Интересно, спасибо огромное

Answer 2

[Виталий Инчин ☢]

1. Смотря как она будет обрабатываться на стороне PHP и какую роль играть.

Если, к примеру, в куке ожидается число от 0 до 5, а на самом деле записано, к примеру 10 или вообще строка, нужно уметь это дело правильно обработать, без ошибок.

Но как правило, куки используют для хранения каких-то деталей в плане интерфейса, настроек и тому подобной мелочи, изменяющейся юзером, которая никак не может навредить сайту внутри. Иногда, правда, хранятся результаты сложных одноразовых расчетов, но опять же, не тех, что отвечают за безопасность.

2. Нет.

3. Если только ему удастся чудом подобрать существующее.

Comments

[ds00lon]

3. разьве сам php не имеет никаких средств обработки фильтрации PHPSESSID которую сам и создает?

[Stalker_RED]

ds00lon: PHPSESSID - это идентификатор сессии SESSion IDentificator. При стандартном обработчике сессий, если вместо правильного идентификатора в запросе будет что-то другое, то просто стартует новая сессия, и на клиент будет отправлен новый PHPSESSID.

Но вы можете сделать свой, самодельный обработчик сессий, да и свой обработчик кукис, если угодно. И что вы там наворотите - будет зависеть.

[ds00lon]

Спасибо то что нужно!

Answer 3

[Alexander Litvinenko]

Если речь идет именно о PHPSESSID, для каждой сессии можно дополнительно запомнить и сравнивать инфу о браузере\ип адресе, тогда вероятность подбора крайне мала.