Krádež session id z výpisu phpinfo()
je již nějakou dobu známá technika, která se používá k obcházení atributu HttpOnly
, který JavaScriptu zakazuje přístup k takto označené cookie (např. PHPSESSID
). Mě akorát až teď napadlo řešení, které dovolí phpinfo()
zachovat: ty citlivé údaje prostě zcenzurujeme, čímž phpinfo()
pro útočníka ztratí část své hodnoty.
FPD je jedna z přibližně 17576 třípísmenných zkratek používaných na Internetu a jedna z mála, kde písmeno F neznamená, hmm, třeba friend. Význam zkratky, o kterém bych vám rád povyprávěl je však důležitý pro bezpečnost webových aplikací. FPD totiž v oblasti webové bezpečnosti znamená Full Path Disclosure, do češtiny přeloženo například jako odhalení, nebo raději lépe prozrazení úplné cesty.