Résolu Sécuriser les sessions PHP contre le Bypass

Statut
N'est pas ouverte pour d'autres réponses.
Iktus

Iktus

Premium
Inscription
21 Octobre 2013
Messages
1 675
Réactions
374
Points
12 981
Bonjour,

Je me demandais comment sécuriser les sessions PHP contre le Bypass, une personne a réussit à contourner les vérifications type if($_SESSION['rank'] < 3) { header('Location: /'); } pour accéder à l'administration avec des extensions firefox.

Cependant je ne vois pas comment sécuriser cela.

Merci
 
Trier par date Trier par votes
Rivals

Rivals

Ancien staff
Inscription
27 Août 2016
Messages
1 705
Réactions
895
Points
13 104
Salut,

On ne peut pas modifier les informations en SESSION directement, c'est en amont que tu as dû t'égarer :p

Peux-tu me fournir l'accès au site ?

Plus d'informations sur les failles de sécurité sur un site web :
  1. https://reality-gaming.fr/threads/c...es-de-securite-web-les-plus-courantes.563243/
  2. https://reality-gaming.fr/threads/c...e-securite-web-les-plus-courantes-2-0.590798/
 
Dernière édition:
Voter positivement 0 Voter négativement
Iktus

Iktus

Premium
Inscription
21 Octobre 2013
Messages
1 675
Réactions
374
Points
12 981
Rivals a dit:
Salut,

On ne peut pas modifier les informations en SESSION directement, c'est en amont que tu as dû t'égarer :p

Peux-tu me fournir l'accès au site ?

Plus d'informations sur les failles de sécurité sur un site web :
  1. https://reality-gaming.fr/threads/c...es-de-securite-web-les-plus-courantes.563243/
  2. https://reality-gaming.fr/threads/c...e-securite-web-les-plus-courantes-2-0.590798/
Cliquez pour agrandir...
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
et tu ajoutes /administration/ pour l'administration, car de mon cotè je n'y accède pas sans les conditions alors que lui oui, c'est assez étrange
 
Voter positivement 0 Voter négativement
Rivals

Rivals

Ancien staff
Inscription
27 Août 2016
Messages
1 705
Réactions
895
Points
13 104
Hello,

J'ai trouvé, il a simplement ignoré l'header "Location" donc il n'a pas de redirection.

Pour palier à ce problème salement mais avec efficacité (temporairement) ajoute un exit(); après ton header..

Capture d’e*cran 2018-03-17 a* 00.16.16.png


P.S : il a accédé à du front uniquement ce n'est pas dangereux

Bonne soirée,
Rivals
 
Voter positivement 0 Voter négativement
Iktus

Iktus

Premium
Inscription
21 Octobre 2013
Messages
1 675
Réactions
374
Points
12 981
Rivals a dit:
Hello,

J'ai trouvé, il a simplement ignoré l'header "Location" donc il n'a pas de redirection.

Pour palier à ce problème salement mais avec efficacité (temporairement) ajoute un exit(); après ton header..

Voir la pièce jointe 113091

P.S : il a accédé à du front uniquement ce n'est pas dangereux

Bonne soirée,
Rivals
Cliquez pour agrandir...
Ah d'accord, merci à toi :)
 
Voter positivement 0 Voter négativement
Statut
N'est pas ouverte pour d'autres réponses.
Haut