PHPSESSID
HackForum
| mám dotaz . . přijde na server a ten mi přidělí PHPSESSID třeba 5das5fd55g6sd6g6sdg2 no a to se uloží do cookies. a můj dotaz spočívá v tom že podle čeho ten server uděluje to číslo ? a nebo jestli jde nějak ze serveru získat čísla cookies pro ostatní uživatele ? asi to hned hodíte do lame příspěvků ale byl bych rád kdyby mě někdo nasměroval jak se co nejvíce dozvědět o PHPSESSID a nebo jak nějak šikovně zjistit PHPSESSID čísla jiných uživatelů toho serveru protože podle nich server rozeznává uživatele . . díky ;) možná tu plácám hlody ale díky za každou " normální " odpověď ;o)
(odpovědět) | | MiKee | 90.176.215.* | 1.2.2008 12:45 |
|
|
|
| Hehe, session id je prave tak dlouhy proto, aby se minimalizovala pravdepotobnost, ze bys ho lousknul bf utokem nebo uhadnul. Nijak se odvodit neda (pokud je to dobre udelany). Max. muzes vyuzit na webu nejaky cross-site zranitelnosti, ktera vezme uzivatelovu sesison cookie, a odesle nekam k tobe nejspis na web. Tam uz samozrejme muze cekat skript, kterej se se session id pripoji k onomu serveru a provede cinnost, kterou potrebujes :-)
Dalsi moznosti je sniffovat. Proste potrebujes onu session cookie nejak ziskat... Btw vetsinou se po kliknuti na tlacitko odhlasit stava session neplatnou
(odpovědět) | | Petrof_ | 212.158.129.* | 1.2.2008 13:38 |
|
|
|
| no s kámošem jsem to zkoušeli a stačí upravit cookies a dát tam jeho číslo a po refreshi stránky jsem tam byl za něj a server nezajímalo že mám jinou Ip a to PHPSESSID je stále stejné prostě při prvním vstupu se udělí a pokud si uživatel nemaže cookies tak jej používá pořát stejné :o)
(odpovědět) | | MiKee | 90.176.215.* | 1.2.2008 13:53 |
|
|
|
| Jj, vetsinou se nekontroluje ip (existujou lide s dynamickou ip). Jasne, kdyz ti kamos svoje session id nadiktuje, tak je jasny, ze se tam dostanes... ja myslel, ze te zajimalo, jestli se da ssid odvodit nebo nejak ukrast.
(odpovědět) | | Petrof_ | 212.158.129.* | 1.2.2008 14:04 |
|
|
|
| doporucuji nejdrive si precist neco o sessions v php a budes v obraze co to cislo vlastne je a co v nem je ukryto..
----------
Cow power by Gentoo...
(odpovědět) | |
|
|
| no když jsme u toho kradení tak to jsem měl na myslí no . .jenže nevím jestli po tomto příspěvku to nehodíte do lame příspěvkuů ;o) jinak Anonymous_ THX ;o)
(odpovědět) | | MiKee | 90.176.215.* | 1.2.2008 16:02 |
|
|
|
| jsem noob [link] ale tady popisují jak by se dalo PHPSESSID ukrást ale vůbec se v tom neorientuju :o) nebo spíše nevím jak to provést i když je to tam popsané. prostě a narovinu chci zjistit jestli se dá nějak ukrást PHPSESSID třeba uživatelů na chatu kde je PHPSESSID stálé a nemění se dokud si ho uživatel nesmaže a nebude mu přiděleno druhé ;o)
(odpovědět) | | MiKee | 90.176.215.* | 1.2.2008 19:13 |
|
|
|
| Nechápu.
Ty máš před očima návod na PHPSESSID steal a ptáš se, zda je možné ukrást PHPSESSID?
Až budeš mít na stole položený otvírák na konzervy, dláto a kladivo, taky se budeš ptát, zda je možné otevřít plechovku?
(odpovědět) | | gugumaa | 195.113.79.10/10.0.10.* | 2.2.2008 11:36 |
|
|
|
