Session hijacking

    Hallo allemaal,


    Hoe kan ik het beste session hijacking tegegaan?
    Ik heb wel iets in elkaar geknutseld, maar helpt dit echt?


    PHP
    $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];


if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])
{
    echo("Session Hijacking detected!");
    die();
}


    $_SESSION['ip'] wordt tijdens het inloggen gezet.

    Bezig met een zelf gemaakte source, geschreven vanaf 0 natuurlijk!

  • Guest, wil je besparen op je domeinnamen? (ad)

    Het code voorbeeld zoals je het nu geeft natuurlijk niet. Maar jou uitleg doet me vermoeden dat regel 1 alleen bij het inloggen wordt uitgevoerd. En in dat geval is dit inderdaad in zekere zin een oplossing voor session hijaking.


    Je koppelt nu de session aan het IP-adres waardoor de sessie slechts onder dat IP-adres werkt. Dit brengt echter wel nadelen met zich mee en is geen algehele oplossing voor het probleem. Doordat de sessie nu IP-gebonden is kunnen dynamische IP-adressen een probleem worden. Daarnaast helpt dit natuurlijk niet wanneer de aanvaller onder hetzelfde IP-adres kan opereren als het slachtoffer.


    Hoewel een 100% oplossing voor session hijaking helaas niet mogelijk is zijn er meer technieken om je er tegen te wapenen. Zo kun je session id's met iedere request vernieuwen, wat session hijaking een stuk moeilijker maakt. Zie hiervoor [func]session_regenerate_id[/func].


    De beste oplossing is preventief te werk gaan in plaats van repressief. Zorg dus dat je website goed is gecontroleerd op XSS lekken.

    Oke bedankt daar kan ik wel genoeg mee.


    Voor beveiliging gebruik in addslashes, stripslashes en htmlentities.


    Zo kan je XSS hacking toch wel tegengaan?

    Bezig met een zelf gemaakte source, geschreven vanaf 0 natuurlijk!

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login