43 messaggi dal 05 gennaio 2011
Usando le session è possibile mediante certi attacchi dirottare la sessione se non viene fatto un controllo con sessionid eccc...

Qualcuno sa se è possibile cambiare un valore di una session mediante qualche tecnica particolare?

Chiedo questo perchè sto programmando un'area riservata con valore session("aut")=1 per l'admin e session("aut")=0 per il guest.

Non vorrei che qualcuno riesca in qualche modo a prendere la sessione dell'admin o cambiare il valore di una session per ottenere degli accessi in aree protette.

GRazie
si, teoricamente è possibile, ma non cambiare valori, fare il cosidetto session hijacking:
http://en.wikipedia.org/wiki/Session_hijacking

in pratica, si becca il sessionID di un utente autenticato, si manda al server e ci si identifica come l'utente in questione. per mitigare questi problemi ci sono n strade, la più semplice è aggiungere un valore di controllo (l'IP?) cifrato ad un ticket, in genere salvato in un cookie, così che si sia certi che la richiesta arriva da una chiamata legittima.
il sistema più semplice, comunque, resta quello di utilizzare SSL (HTTPs), così che tutti il traffico sia cifrato già lato canale.

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
43 messaggi dal 05 gennaio 2011
Bene, ho fatto un controllo tra il sessionid e una session che contiene l'hash dell'ip della macchina dell'utente ok, quando si esegue una pagina dell'area riservata viene confrontato l'hash dell'indirizzo ip della macchina client con l'hash della variabile di sessione creata in fase di login se sono uguali ok se diversi abbatte tutte le session.
In più cartella admin e pagina login.aspx impostato certificato in iis con cifratura.
Impostato controllo di force brute per la login con lista ip da bloccare.
Penso che così possa andare o c'è ancora qualche possibilità di accedere all'area riservata in modo...improprio...?

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.