web security කියන දේ වර්තමානයේ ඉතාමත් වැදගත් දෙයක්.web system එකක තියෙන කුඩා වැරද්දකින් සම්පුර්ණ පද්ධතියම අඩාල වෙන්න පුළුවන්.මේ කියන්නේ ඒ අතරින් ජනප්රියම ක්රමයක් වන session hijacking වලින් ආරක්ෂා වෙන විදිහ.
session hijacking
session hijacking කියන්නේ වෙනත් පුද්ගලයෙක්ගේ login session එකකට ඇතුල් වීම..උදාහරණයක් ලෙස admin panel එකට log වෙලා ඉන්න අවස්තාවක,වෙනත් පුද්ගලයෙක්ට එම පුද්ගලයාගේ session එකට හරහා පහසුවෙන් admin panel එකට පිවිසෙන්න පුළුවන්.මේක xss attack(cross site scripting) හරහා වෙන්න පුළුවන්..මෙතනදී සිදුවන්නේ javascript code එකක් හරහා session එකට අදාළ session id එක සොයාගැනීම..session id එක මගින් තමා session එකක් හදුනාගන්නේ..
session එකක් run කරලා session id එක බලන්න පුළුවන්.
php session id(PHPSESSID) එක සොයාගන්න ඕන කෙනෙක්ට මේ හරහා session එකට ඇතුල් වෙන්න පුළුවන්.
session cookie එකට javascript වැනි scripting languages වලට ඇතුල් වීම අවහිර කිරීම මෙයට විකල්පයක්..ini_set හරහා මේක කරන්න පුළුවන්.
මෙහිදී වෙන්නේ session cookie එකට HTTP protocol හරහා පමණක් ඇතුල් වීම..
session hijacking වලින් ආරක්ෂා වීමට තවත් ක්රමයක් විදිහට session ip address එක බාවිතා කරන්න පුළුවන්..
session එකට අදාළ ip address එක එම session එක සදහා පමණක් lock කිරීම මගින් වෙනත් පුද්ගලයෙක්ට ඇතුල්වීම නවත්තන්න පුළුවන්.
$_SERVER[‘REMOTE_ADDR’] මගින් දැනට ඉන්න පිටුවට අදාළ IP Address එක ලබාගන්නවා.
session_unset() මගින් සියලුම session variables unset වෙනවා.
PHP Security යටතේ SQL Injection ගැන ඊලග ලිපියෙන්…
Thank you for your post. I think this is very important subject which each developers should know. thank you again and waiting for another valuable post.
LikeLike
Thanks
LikeLike
Awesome, Just get to know about these stuff..write more
LikeLike
Thanks miraj ayya
LikeLike
Very Use full Friend . You give me important about “reading blogs”
LikeLiked by 1 person
Thanks
LikeLike