WEB-d Développement Web

PHP, SQL, HTML5, CSS3, Javascript, Mootools, Référencement, SEO, CMS, e-commerce, Apache, Linux, Ubuntu, ...

• Accueil
• Blog

L'attaque par fixation de session, et comment s'en protéger

L'attaque par fixation de session est une attaque proche du vol de session:

1. L'attaquant crée une session sur le serveur;
2. L'attaquant transmet ce numéro de session à la victime, par exemple via un lien;
3. La victime s'authentifie, en utilisant ce numéro de session;
4. L'attaquant peut maintenant utiliser le compte de la victime.

Se protéger

Il existe une technique simple pour se protéger contre cette attaque: lors de chaque login réussi, le serveur doit créer un nouveau numéro de session. En PHP, il suffit d'utiliser la fonction session_regenerate_id()

Cette fonction créera un nouveau numéro de session et l'enverra au client, sans perdre les données de la session, évitant ainsi que l'attaquant puisse accéder aux données du client...

Articles similaires

• Web Application Firewall (WAF) Apache mod_security
• Surveiller un serveur avec Logwatch
• Protéger les mots de passe avec PHP
• Protéger un serveur PHP avec Suhosin
• Protection contre la falsification de requête intersite (Cross-Site Request Forgery CSRF)

WEB-d Développement Web
© 2010-2024 www.web-d.be