キャッシュ制御不備の脆弱性にご用心
古い書籍に掲載されたPHP記述の掲示板ソフトを動かしていると、ログアウト処理がうまく動作していないことに気がつきました。チェックの方法ですが、ログアウト処理の脆弱性検査の簡単なものは、「安全なウェブサイトの作り方」別冊の「ウェブ健康診断仕様」に記載されています。 (J)認証 ログアウト機能はあるか、適切に実装されているか ログアウト機能がない、あるいはログアウト後「戻る」ボタンでセッションを再開できる場合 この仕様書にある通り、『ログアウト後「戻る」ボタンでセッションを再開できる』状態でした。 おそらくセッション破棄がきちんと書かれていないのだろうと思いログアウト部分のソースを見ると、以下の様な処理内容でした(オリジナルからはリライトしています)。 <?php // logout.php require_once('common.php'); // 共通の設定・処理 session_sta
携帯でのセッション管理 - PHP
■ 携帯でのセッション管理【php.ini 設定】 セッション管理と言うとCookieを利用するのがPCでは一般的ではあるが、携帯ではCookieが利用できないキャリアが存在するため、URLに付与するセッション管理となってしまいます。 各キャリアのCookie対応は DoCoMo:Cookie対応なし au:Cookie対応している SoftBank:一部Cookie対応している さすがにDoCoMo端末を対象外とする携帯サイトは作れないですよね。。。 さて、セッションを利用するために php.ini を設定していきましょう。 (PHPはデフォルトCookieセッション管理するがデフォルトとなっています) 1.php.ini [Session] セクションの設定(Windows環境) ・session.save_path = "C:\session\tmp" セッション情報ファイルを保存す
PHPのセッションアダプション脆弱性克服への道のり
(Last Updated On: 2018年8月13日)PHP Advent Calender用のエントリです。 PHPのセッション管理は非常に簡単です。セッションをsession_start()で開始して$_SESSION配列を使うだけです。便利で簡単なセッションモジュールですがセッションアダプションに脆弱であるため、一般に言われてる「ログインする時にはsession_regenerate_id()を呼ぶ」コーディングではセッションアダプションに脆弱になってしまいます。 まずは危険性と対策を紹介します。 セッションアダプションの危険性 セッションアダプションとは外部などから設定されたセッションIDを受け入れ初期化する脆弱性です。一番分かりやすい例はTrans SIDを有効にして http://example.com/index.php?PHPSESSID=1234567890 とアクセ
【PHP】セッションタイムアウトの時間を設定する
実際にどの設定でセッションタイムアウトが制御されているのか分からなかったので、調査したときのメモ。 基本はブラウザ側でクッキーを使えないとセッションは使えない。携帯の場合はこちらの記事を参考に。 そのクッキーの有効期限は最初にサーバにアクセスしたときにサーバ側で設定可能。多くのセッション管理のプログラムはセッションスタート時に session_set_cookie_params($lifetime); を実行して有効期限を設定している。 デフォルト値はphp.iniにある session.cookie_lifetime の設定(秒)。lamppやhttpdのインストール直後は0(ブラウザが閉じるまで有効)となっている。 session.cookie_lifetime = 0 のとき(「セッションクッキー」というらしい)はどの設定でセッションを管理しているかというと、それが session.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CSRF対策のトークンの生成方法について
fukata.org
