Script_Kiddie
Mitglied
Hallo!
Ich habe jetzt meine kleine Page zum ASP üben erweitert, man kann sich einloggen und wenn man adminrechte hat (Die Rechte stehen in einer Spalte der Access-datenbank), ist es möglich, News hinzuzufügen. In dem Moment, wo man auf den "Login"-Button klickt, überprüft das Script ob Username und Passwort übereinstimmen, und man bekommt eine SessionID zugewiesen. Diese ID hänge ich dann immer an die URL an. Also "index.asp?ASPSESSID=12345678".
Mein Problem ist folgendes: Ich könnte als Besucher der Site einfach an die URL eine beliebige ASPSESSID-Nummer anhängen. Als solcher habe ich zwawr keine Admin-rechte, aber man ist als normaler User eingeloggt - und das sollte nun wirklich nicht sein
Kann mir jemand helfen, das Problem zu lösen, bzw die SessionID nicht so offensichtlich manipulieren zu können?
Vielen Dank im Vorraus!
Greetz Script_Kiddie
Ich habe jetzt meine kleine Page zum ASP üben erweitert, man kann sich einloggen und wenn man adminrechte hat (Die Rechte stehen in einer Spalte der Access-datenbank), ist es möglich, News hinzuzufügen. In dem Moment, wo man auf den "Login"-Button klickt, überprüft das Script ob Username und Passwort übereinstimmen, und man bekommt eine SessionID zugewiesen. Diese ID hänge ich dann immer an die URL an. Also "index.asp?ASPSESSID=12345678".
Mein Problem ist folgendes: Ich könnte als Besucher der Site einfach an die URL eine beliebige ASPSESSID-Nummer anhängen. Als solcher habe ich zwawr keine Admin-rechte, aber man ist als normaler User eingeloggt - und das sollte nun wirklich nicht sein
Kann mir jemand helfen, das Problem zu lösen, bzw die SessionID nicht so offensichtlich manipulieren zu können?
Vielen Dank im Vorraus!
Greetz Script_Kiddie
