ciao a tutti. ho trovato molto interessante l'articolo di questo sito ma purtroppo non capisco alcune cose...ovviamente vorrei testarle ma so che se anche chiedessi aiuto su come risimulare gli eventuali attacchi per regolamento non sarei aiutato ...allora cerchero' di fare domande un po piu specifiche relative all'articolo
http://php.html.it/guide/lezione/298...nse-splitting/
mi interessa il rimedio ( anche se non ho proprio capito come si faccia a cadere in questa situazione)
viene detto :
"Il rimedio è semplicissimo: evitare che il comando Set-Cookie possa esser inviato via query string, tramite la seguente riga di codice:
if (strpos(strtolower($_SERVER['REQUEST_URI']),"set-cookie:")!==false) exit;
Posta all'inizio di ogni script. Alternativamente - e più efficacemente - possiamo eliminare tutti i caratteri di CR+LF (ritorno a capo e nuova riga: \r\n). Da porre attenzione al fatto che Windows e Linux differiscono in tale codifica: la presente è quella usata dai sistemi operativi Windows."
prendo per buona e mi affido a questo punto al copia incolla
if (strpos(strtolower($_SERVER['REQUEST_URI']),"set-cookie:")!==false) exit;
dove devo inserirlo? se ho degli include a inizio pagina? prima o dopo essi?
se ho session_start() che va messo all'inizio di ogni pagina dovro attaccare il mio controllo prima o dopo.
grazie
Rispondi quotando
