Přejít k navigační liště

Zdroják » Zprávičky » Local session poisoning

Local session poisoning

Zprávičky Různé

V nově zveřejněném díle Kafemlejnek.TV rozebíráme s Romanem Kümmelem ze Soom.cz zranitelnost local session poisoning, kterou prezentoval na včerejší konferenci HackerFest. Zranitelnost umožňuje neoprávněný přístup do administrace aplikací, které sdílí session storage na stejném webovém serveru. Na první pohled šílená myšlenka je realitou výchozího nastavení PHP a postihuje celou řadu českých i zahraničních webů. Ačkoliv se jedná o univerzální princip nejsou ostatní platformy jako je Java nebo .NET díky udržování session v oddělených paměťových prostorech tolik ohrožené jako právě PHP, které standardně ukládá session do souborů v jednom společném adresáři.

Tento díl doporučujeme shlédnout až do konce a věnovat chvilku k zamyšlení, jestli zrovna Vaše weby nemohou ležet na takto zranitelném hostingu, či nejste přímo jejich provozovateli. Detaily útoku popisuje Roman v tomto videu:

Enum a statická analýza kódu

Mám jednu univerzální radu pro začínající programátorty. V učení sice neexistují rychlé zkratky, ovšem tuhle radu můžete snadno začít používat a zrychlit tak tempo učení. Tou tajemnou ingrediencí je statická analýza kódu. Ukážeme si to na příkladu enum.