Gumbo
Erfahrenes Mitglied
Die Sitzungsdaten selbst können nicht verändert werden, da dies nur über das Skript geht. Es reicht aber eine gültige Sitzungs-ID zu haben, die beispielsweise durch Cross-Site Scripting besorgt werden kann.
Methoden um Sessions zu missbrauchen
- Themenstarter GiFt-ZwErG
- Beginndatum
versuch13
Erfahrenes Mitglied
Aha, also wenn eine Seite vollkommen gegen XXS gesichert wäre, wäre eine User Authentifizierung anhand einer Session Variable oder eines Cookies also sicher?
Hier gibt es eine Tutorial zu einer Userverwaltung + Login usw.
--> 14ter Code Block..
Wäre das noch eine weiter Möglichkeit sich vor Angriffen zu schützen? Nach der DB Abfrage und Vergleich des Namens und Passwortes, bevor man Session oder Cookie setzt, sleep anwenden?
Sorry wenn ich das Niveau des Threads wohl etwas runterziehe, aber irgendwie muss man ja in das Thema reinkommen.
Danke
Hier gibt es eine Tutorial zu einer Userverwaltung + Login usw.
Aus dem Tutorial hat gesagt.:
--> 14ter Code Block..
Wäre das noch eine weiter Möglichkeit sich vor Angriffen zu schützen? Nach der DB Abfrage und Vergleich des Namens und Passwortes, bevor man Session oder Cookie setzt, sleep anwenden?
Sorry wenn ich das Niveau des Threads wohl etwas runterziehe, aber irgendwie muss man ja in das Thema reinkommen.
Danke
Gumbo
Erfahrenes Mitglied
Nein, das heißt es leider nicht. Denn Cross-Site Scripting ist nur eine Möglichkeit an Cookie-Daten zu kommen. Es gibt aber noch andere, die jedoch wohl seltener ausgenutzt werden, da sie komplizierter oder ineffizienter sind. Ein Schutz gegen Cross-Site Scripting ist aber ein guter Anfang.
Wenn 1000 Anfragen von einem einzigen Client innerhalb einer Sekunde eingehen, sollte spätestens nach der dritten, fünften oder zehnten der Server alle weiteren automatisch abweisen.
