PHPを使ったウェブサイトに、セッション変数を使ってユーザーそれぞれのアクセス許可レベルを保存しようとしています。
例えば、ユーザーがウェブサイトに行くときに、自動的にメンバーに応じたセッション変数を獲得できるようにしたいと思っています。
ハッカーがウェブサイトを訪れたときに、メンバーではなく管理者のセッション変数を書き換えることが出来てしまうのでしょうか?
やり方を知りたいのではなく、もし上記の作業が出来るなら、アタッカーはどのような方法を取りアクセスを試みるのでしょうか?(コードの書き換えなど)
アクセス許可レベルを時間が経つと満了になるトークンと置き換えてしまうことを考えましたが、いかがでしょうか。
(埋め込むのにかなり時間がかかると思います。)
ご意見いただければと思います。
よろしくお願いします。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。