Elxis CMS Forum

Ελληνικό Forum => Ασφάλεια => Topic started by: cccdin on October 19, 2009, 10:10:17

Title: Detected CSRF attack! Someone is forging your requests
Post by: cccdin on October 19, 2009, 10:10:17

Τι συμβαίνει ρε παιδιά! Οπως διαπίστωσα το πρόβλημα ειναι στα session. Ενώ ο φάκελος ειναι εγγράψιμος τα sessions ID που γράφονται μέσα έχουν δικαιώματα από τον apache server !! ειναι δηλαδή μη εγγράψιμα και δεν μπορούν να σβήσουν !!!!! Για το λόγο αυτό απ΄οτι κατάλαβα έχω φαινομενικά και πολλους online επισκέπτες. Καμμιά ιδεά???

Title: Re: Detected CSRF attack! Someone is forging your requests
Post by: datahell on October 19, 2009, 10:19:11

Αν δεν δουλεύουν σωστά τα session θα έχεις συνεχώς ένδειξη CSRF attack. Πρόκειται για μία εσωτερική προστασία του Elxis εναντίον προσπαθειών κλοπής του session σας κατά την στιγμή συγγραφής ενός άρθρου. Αλλά το πρόβλημα δεν περιορίζεται εκεί. Το κυρίως πρόβλημα είναι ότι εφόσον δεν δουλεύουν σωστά τα session σε κάθε κλικ δημιουργείται νέο με αποτέλεσμα να φαίνεται ότι στο site σου είναι 500.000 επισκέπτες... Γενικά τα session θα πρέπει να δουλεύουν σωστά σε οποιαδήποτε εφαρμογή με PHP. Για ότι αφορά τη σωστή λειτουργία του site μας απευθυνόμαστε στην εταιρεία που μας φιλοξενεί.

Σημ 1. Το ότι τα session ανήκουν στον apache είναι φυσιολογικό (εκτός αν έχεις suPHP και ο φάκελος ανήκει στον τοπικό χρήστη).
Σημ 2. Έλεγξε και την περίπτωση να πρόκειται όντως για επίθεση CSRF (δεν εγκαθιστάμε toolbar και χαζά πρόσθετα στον browser, όταν μπαινουμε στη διαχείριση κλείνουμε τα άλλα παράθυρα/tab, πάντα κάνουμε Logout όταν βγαίνουμε από τη διαχείριση).
Σημ 3. Η κλοπή του session σημαίνει πως κάποιος μπορεί να μπει στη διαχείριση χωρίς καν να κάνει login... Εννοείται ότι αυτό δεν επηρεάζει μόνο το Elxis. Γενικά να προσέχετε που σερφάρετε.

Title: Re: Detected CSRF attack! Someone is forging your requests
Post by: cccdin on October 21, 2009, 12:42:32

Αυτό ειναι λογικό, το θέμα ειναι οτι παρ΄οτι εχω ορίσει στο .htaccess το session path και ειναι εγγράψιμο, εξακολουθεί να υπάρχει πρόβλημα. Δεν ξέρω αν πρέπει να έχει οριστεί στο php.ini.
Πάντως στις Πληροφορίες συστήματος->Σχετικές Ρυθμίσεις της PHP το [Session save path:] έχει οριστεί -> [/var/www/vhosts/my-site/httpdocs/session] κανονικά.
Το ίδιο ισχύει και στο πληροφορίες για την PHP [session.save_path   -->  /var/www/vhosts/my-site/httpdocs/session ]

Που ειναι το πρόβλημα?