Wir hatten ein zeitweiliges Problem mit Benutzern unserer Website, die mysteriöserweise als ein anderer Benutzer angemeldet waren. Die Site wurde auf der Concrete5 Version 5.6.3.4 erstellt. Dies scheint eine große Sicherheitslücke zu sein, da wir private und sensible Daten anzeigen und vor Ort Kreditkarten kaufen können.Concrete5 5.6.3.4 Benutzer ist als falscher Benutzer angemeldet
0
A
Antwort
0
Die Website implementiert für immer Cookies, die das Problem zu verursachen scheint. Gemäß this beträgt die Kollisionsrate für den Hash, der für den Cookie verwendet wird, ungefähr 8%. Der Patch im Link auf dieser Seite scheint das Problem zu mildern, aber nicht vollständig zu beseitigen.
Der zweite Patch versucht, die Benutzer-ID zur Kennung hinzuzufügen, um sie eindeutig zu machen und das Kollisionsrisiko zu beseitigen. Scheint so, als müsste es lauten:
public function getString($length = 12) {
$str = str_repeat($this->letters, 10);
- $hash = substr(str_shuffle($str), 0, $length);
+ $user = new User();
+ if($user->getUserID()) {
+ $hash = sprintf("%i:%s, $user->getUid(), substr(str_shuffle($str), 0, $length));
+ } else {
+ $hash = sprintf("%s%i:%s", substr(str_shuffle($str), 0, $length), mt_rand(999,9999), substr(str_shuffle($str), 0, $length));
Verwandte Themen
- 1. Firebase-Benutzer bereits angemeldet
- 2. Benutzer bleiben angemeldet
- 3. Backendless überprüfen, ob Benutzer angemeldet ist
- 4. wie AutoFill Formulareinträge wenn Benutzer angemeldet ist?
- 5. Überprüfen Sie, ob der Benutzer angemeldet ist
- 6. Ist der Benutzer angemeldet? (Restful-Authentifizierung)
- 7. Ermitteln, ob der Benutzer angemeldet ist
- 8. überprüfen, ob ein Benutzer bereits angemeldet ist?
- 9. Benutzer umleiten, wenn nicht angemeldet
- 10. apppool identity vs angemeldet Benutzer
- 11. (Nativescript/Angular2) Benutzer angemeldet bleiben
- 12. Vb.net aktueller Benutzer angemeldet POS
- 13. Zugang verweigert? Falscher Benutzer/pass
- 14. Plugin-Debugging - Benutzer muss immer angemeldet sein?
- 15. SPA, offline online, Benutzer angemeldet bleiben
- 16. Überprüfen, ob sich ein Benutzer angemeldet hat
- 17. Abfrage Benutzer angemeldet mit Dashboard-Plattform
- 18. PHP Redirect Benutzer, wenn nicht angemeldet
- 19. Get Windows angemeldet Benutzer REST Web Api
- 20. Benutzer bleiben angemeldet ios app swift
- 21. ASP.NET-Benutzer wird angemeldet, aber zur Anmeldeseite
- 22. überprüfen, ob Benutzer in ios swift angemeldet
- 23. Persist angemeldet Benutzer mit angularfire2 mit Cookies
- 24. Entfernen Sie einen Benutzer über das Dashboard, aber der Benutzer ist noch angemeldet?
- 25. ViewController wird geändert, wenn der Benutzer Facebook ist Angemeldet
- 26. Wie kann ich feststellen, ob ein Benutzer angemeldet ist?
- 27. Login-Route deaktivieren, wenn ein Benutzer bei Hapi.js angemeldet ist
- 28. Überprüfen Sie, ob der Benutzer bereits mit Auth.GoogleSignInApi angemeldet ist.
- 29. Indexseite umleiten, wenn der Benutzer angemeldet ist AngularJS
- 30. Magento PHP überprüfen, ob der Benutzer angemeldet ist