Zapobieganie atakom Session Hijacking (Cookie Hijacking)

Question

Witam. Stworzyłem kod gdzie po zalogowaniu przez OpenID dane o koncie z logowania są przekazywane do bazy danych i jest generowany hash szyfrowany za pomocą SHA512. Hash jest zapisywany w bazie danych i jako ciasteczko w przeglądarce. Działa to tak, że skrypt przeszukuje bazę danych szukając wpisu gdzie jest wpisany hash z przeglądarki i jeżeli znajdzie to przekazuje do przeglądarki w formie tablicy cały wpis. 

if (isset($_COOKIE['hash'])) {
	$sql = $db->query("SELECT * FROM `users` WHERE `hash` = " . $db->quote($_COOKIE['hash']));
	if ($sql->rowCount() != 0) {
		$row = $sql->fetch();
		$user = $row;
	}
}

Chciałbym sprawić, aby niemożliwe było zwykłe przechwycenie hasha, ustawienie go w swojej przeglądarce i uzyskanie dostępu do całego konta użytkownika. Nie chodzi mi tu o HTTPS czy SSL, bo równie dobrze można po prostu sprawdzić pliki cookie fizycznie.

Pozdrawiam.

Answer 1

Przy każdym żądaniu generuj hasha na nowo. I postaraj się, żeby zawsze był całkowicie losowy (np. hashuj output z random_bytes).

 można po prostu sprawdzić pliki cookie fizycznie

Jak ktoś ma dostęp do komputera usera, to raczej już nic nie zrobisz…

Maksymalne zabezpieczenie cookies to:

• ustawienie flagi httpOnly
• ustawienie flagi secure
• ustawienie flagi SameSite
• SSL + HSTS
• mocne Content Security Policy dla strony
• zablokowanie wczytywania strony w ramkach (czyli albo CSP, albo dodatkowo X-Frame-Options)
• obcięcie CORS
• generowanie nowego hasha i cookie przy każdym żądaniu

 

Comments

zrobiłem to w ten sposób:

na początku pliku:

if($_SERVER['HTTP_CLIENT_IP'])
{
 $ip = $_SERVER['HTTP_CLIENT_IP'];
}
else if($_SERVER['HTTP_X_FORWARDED_FOR'])
{
 $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
else
{
 $ip = $_SERVER['REMOTE_ADDR'];
}

przy żądaniu:

if (isset($_COOKIE['hash'])) {
	$sql = $db->query("SELECT * FROM `users` WHERE `hash` = " . $db->quote($_COOKIE['hash']));
	if ($sql->rowCount() != 0) {
		$row = $sql->fetch();
		$user = $row;
		if($ip!=$user['ip']){
			unset($row);
			unset($user);
		}
	}
}

przy logowaniu:

$db->exec("INSERT INTO `users` (`hash`, `steamid`, `name`, `avatar`, `ip`) VALUES ('" . $hash . "', '" . $steamid . "', " . $db->quote($name) . ", '" . $avatar . "', '" . $ip . "')");

 

---

Polecam przejść na prepared statements przy zapytaniach w bazie.

---

Dodałem flagę httpOnly i ustawiłem header("X-Frame-Options: DENY");

No, chyba jest bezpiecznie :)

---

"prepared statements"? 

a po co to?

---

Żeby zabezpieczyć bazę.