¿Está alguien tratando de explotar una vulnerabilidad?

1

En nuestro sitio web, cuando se detecta un ID de sesión de PHP no válido, se registra y se regenera.

Esta sesión no válida se ha registrado:

n040jl1nujch72tkrmr0uilnl1, s_vi=[CS]v1|2A19B9B4853135D2-60000109E00013F4[CE]

¿Está alguien tratando de explotar una vulnerabilidad?

Esta es la forma actual en que se regenera la ID

// If it's invalid, generate a new ID.
$chars="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789,-";
srand((double)microtime()*1000000);
$i = 0;
$pass = '' ;
while ($i<=35){
    $num  = rand() % 33;
    $tmp  = substr($chars, $num, 1);
    $pass = $pass . $tmp;
    $i++;
}
session_id($pass);

Pero en los próximos días, estaremos actualizando la base de código para usar esto, es necesario regenerarlo.

session_id(uniqid());
    
pregunta TMH 10.10.2014 - 10:56
fuente

1 respuesta

1

¿Escribes en los registros qué ID de sesión se generan?

Tal vez el usuario "bueno" obtuvo este ID de sesión de su aplicación, pero ¿la aplicación "olvidó" esto? (porque la sesión caduca o porque la aplicación se reinició, el servidor se reinició)

Las sesiones de adivinación simples no son una buena forma de hackear el sitio, tal vez alguna herramienta como Splunk podría ayudarlo enormemente. (Por ejemplo, puede mostrar que el 99% del error de identificación de sesión no válida proviene de solicitudes de una sola IP, por lo que realmente sería sospechoso).

    
respondido por el yaroslaff 10.10.2014 - 14:38
fuente

Lea otras preguntas en las etiquetas