Security une (s|c)ession bien transparente.

July 17th, 2003 par foxmask

un trou de sécurité concerne php sur toutes ses versions jusqu’à la 4.3.1 incluse.

la faille consiste en un cross site scripting reposant sur le SID.

la solution ; si vous ne pouvez mettre à jour votre php ; est de mettre la variable session.use_trans_sid à 0 dans le fichier php.ini.
mais alors vous devrez aussi corriger vos liens href où vous auriez ajoute ?SID=

la faille en détail

Posté dans Security | 4 Comments »

4 Reponses pour “une (s|c)ession bien transparente.”

  1. Anonyme Says:

    Euh…
    C’est pô super récent, comme news ;)

  2. foxmask Says:

    et là assez recent ? ;)
    http://www.debian.org/security/2003/dsa-351

  3. foxmask Says:

    cela dit
    une piqûre de rappel ca fait pas de mal :)

  4. Anonyme Says:

    transparent_sid
    J’ai toujours eu horreur du SID transparent. Je n’aime pas qu’un interpréteur modifie mon code (en l’occurrence HTML) . Surtout que ça ne fonctionne qu’à moitié, par exemple sur des liens effectués en Javascript il est incapable d’ajouter le SID.
    Donc franchement pour ne pas avoir de mauvaises surprises le mieux est d’ajouter le SID soi-meme dans chaque lien.

Répondre

Vous devez être identifié pour poster un commentaire.

Identification

Enregistrez-vous

SQUAD!

GCU live

[22:13:39] gaston oui'
[22:13:56] gaston tu vois genre la dans mes logs j'ai p.ex 192.0.1.234, 46.20.169.130
[22:14:01] iMil hm je saurais pas te dire, mais à la limite pour être clean, tu peux nettoyer les headers sur le dernier RP
[22:14:14] gaston la premiere ip je pense que c'est l'ip client sur le lan avant de passer le proxy sortant
[22:14:37] vr c'est la norme
[22:14:50] vr il separe les differentes ips par des ,
[22:15:33] gaston oui mais dans des headers distincts ou il stuff/append tout dans un seul x-forwarded-for ?
[22:15:34] yota (~Sebastien@2a01:e35:243 d:8160:2c1e:32ae:b2db:27 c9) returned to #gcu.
[22:15:34] Ool (~Ool@unaffiliated/ool) returned to #gcu.
[22:15:36] vr http://en.wikipedia.org/ wiki/X-Forwarded-For#For mat
[22:15:53] vr dans un seul header si il est bien élevé

Miiissioudaaam'

Archives:

Meta:

Hosted by:

NBS-System