Kohana Session_exception[1] — error reading session data?

Question

[Виталий Семьянчук]

Добрый день.
Вот проблема, при проверки моего сайта на уязвимости, одна из прог, а именно Burp suite,
выдала ошибку Session_exception[1] - error reading session data, а под ней куча исходного кода.
Это все произошло из-за того что Burp suite на любую страницу передает session='../../../../etc/paswd'.
Так вот хочу спросить насколько это опасно, и как сделать чтобы кохана игнорировала такие сессии?

Answer 1

[Vit]

Программа для тестирования попыталась прочитать файл, который читать нельзя. Кохана честно выдала ошибку чтения - это нормально. Плохо было бы наоборот, если бы ваш сайт выдал злоумышленнику содержимое /etc/passwd

Comments

[Виталий Семьянчук]

тоесть можно не бояться что злоумышленник из этой информации не возьмет что-то ему надобное???

[Vit]

@fix20152 в том то и дело, что не получает злоумышленник никакой информации

[Vit]

@fix20152 прошу прощения, вы исходный код имели в виду. Можно на него взглянуть?

[Vit]

@fix20152 в Кохане можно отключить показ стек-трейсов. kohanaframework.org/3.0/guide/kohana/bootstrap - судя по этому мануалу, оно управляется переменной Kohana::$environment

[Виталий Семьянчук]

Наверное так и сделаю, Спасибо