|
Nakon što pročitah ovaj [Link mogu videti samo ulogovani korisnici] izvještaj u kojem su dokumentovani napadi na globalne varijable unutar PHP-a i override istih sa podacima napadača što je opet dovelo do kompromitacije podataka sa raznih sajtova usljed takvih napada, malo sam zabrinut 
Podijelite i vi svoja iskustva i podijelite neke savjete kako se zaštiti od istih napada.
Evo na šta naidjoh kao još jedan dodatan vid zaštite ako su nam ukradene sesije:
session_start();
if(isset($_SESSION['HTTP_USER_AGENT'])) {
if($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT'])) {
exit();
}
} else {
$_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);
}
p.s. kako da stavim kod unutar poruke,koja opcija na forumu ?
p.s. Naijdoh i na ovo u ovom gore izvjestaju :
Kada stavimo ovo umjesto URL-a
[Link mogu videti samo ulogovani korisnici]
izbaci nam neki tekst na ruskom i ovo je koristeno prilikom napada,ali napadi sa ubacivanjem fajlova u root folder php-a.
|
