セッション管理
PHP:既知のセキュリティ脆弱性 – Session Adoption
追記:より新しい情報については間違いだらけのHTTPセッション管理とその対策をどうぞ。 PHPには広く知られているにも関わらず放置されている既知のセキュリティ脆弱性が幾つかあります。その一つがセッションモジュールのセッションアダプション(Session Adoption)脆弱性です。この脆弱性は現在広く利用されているWebアプリケーションの安全性に、非常に大…
PHPのSessionモジュールの脆弱性
たまたま目に止まったブログがあるので紹介します。 PHP:session_set_save_handlerリファレンスマニュアルのサンプルにパス・トラバーサル脆弱性 http://www.tokumaru.org/d/20080818.html#p01 [php]session_set_save_handlerのパストラバーサルで任意コマンドの実行が可能 h…
PHP 4.4.8用のStrict Sessionパッチ
桝形さんから http://blog.ohgaki.net/php-5-2-strict-session で公開したパッチのPHP4.4.8版を送っていただきました。私のWikiにも添付ファイルとして掲載させていただきました。 http://d.hatena.ne.jp/masugata/20080714#p2 に掲載されているパッチと同じパッチです。 私…
PHPセッションの問題修正
Stefanさんのブログに書いてあったので気がついたのですが http://cvs.php.net/viewvc.cgi/php-src/ext/session/session.c?r1=1.417.2.8.2.35&r2=1.417.2.8.2.36 に結構面白いコミットがされています。CVS版なので正式リリースになるかは不明です。成り行きはがどう…
ログイン後にsession_regenerate_id()を実行するだけで十分か?
忙し過ぎてタイムリーにブログが書けないです。最近セッション管理の問題が一部で話題になっていました。そこの中に以下のような議論がありました。 ログイン後にsession_regenerate_id()を実行すれば外部からのセッションIDを受け入れても安全 確かにログイン後のセッションIDは本来セッションIDが持つべき属性 一意な値であること 第三者…
解答:まちがった自動ログイン処理
問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認…
PHPのStrictセッション
Strictセッション管理パッチのダウンロード数がやっと?100を超えました。 PHP5用のパッチなのが一番の問題なのでしょうか?非常にダウンロード数が少ないように思えます。私はこのパッチはセキュリティ上かなり重要なパッチだと思っています。 PHP4のパッチが必要なのかな? 枡形さんが作ってましたっけ? 関連: http://blog.ohgaki.net/…
Strict Session管理パッチ
PHPのセッションID管理がいまひとつであることは http://blog.ohgaki.net/index.php/yohgaki/2005/12/24/strict_sessioncric にも書きました。PHP 5.1.2用のパッチですがsqliteと一緒にコンパイルするとsqlite用のvalidationパッチが含まれていないのでビルドできませんで…
Strict Session管理パッチ
Hardedned PHPプロジェクトのStefan EsserさんがPHP SESSIONをより安全に運用するパッチを公開しています。 このパッチはPHPのセッション管理の問題に対応します。PHPのSESSIONモジュールがSession Fixation(セッションIDの固定化)に対して脆弱であることは随分前から広く(?)知られていました。このパッチを適…
session_regenerate_id()
前にこの関数の仕様はちょっと... と書いたのですがPHP 5.1から普通の関数になります。 # セッションデータも削除できるようになります。 - Added an optional remove old session parameter to session_regenerate_id()
session_regenerate_idの使い方に注意!
久しぶりにPHP-users MLを見るとsession_regenerate_id関数が「古いセッションIDに関連したセッション情報を削除しないのは困るよね」と投稿がありました。 バグレポートではBogus(バグじゃない)というステータスになっていました。確かにsession_regenerate_id関数は新しいセッションIDを生成する為の関数として追加…