Julius: PHP Session-Tokens

Beitrag lesen

problematische Seite

Hallo beatovich,

Ich habe vor nicht sehr langer Zeit ein Video gesehen, wie man PHP Sessions angreift. Der Autor war ehemals bekannt als Verbreiter des SAMY Wurms auf MySpace. Er zeigte im Video wie die beeindruckende Bit-Zahl des Tokens wirklich zusammenschrumpft auf wenige Bits.

Dann greift er aber wohl eine Seite ein, die schlecht konfiguriert ist (die Länge des Session-Tokens ist in der php.ini einstellbar) oder eine unzuverlässige Quelle für Zufallszahlen benutzt.

Gruß
Julius

--
„Unterschätze niemals die Datenübertragungsrate eines mit Bändern vollgeladenen Kombis, der über die Autobahn rast.“
Andrew S. Tanenbaum (Quelle)