هل تستطيع أن تعطيني مثالا على هجوم تثبيت الجلسة؟
https://stackoverflow.com/questions/1122086
-
13-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لقد قرأت عن تثبيت الجلسة ومن ما أفهمه يجبره على مستخدم لاستخدام جلسة مهاجمة. هل هذا صحيح؟ هل يمكنك أن تعطيني مثالا على كيفية إهانة هذا المستخدم؟
المحلول
لا أحب أن نشر روابط إلى ويكيبيديا، لكن إليك رابط تفسير جيد جدا على ويكيبيديا...
إليك اللحوم منه:
أليس لديها حساب في البنك http: // غير آمنة /. وبعد لسوء الحظ، أليس ليست أمنية مذهلة للغاية.
مالوري خارج الحصول على أموال أليس من البنك.
لدى أليس مستوى معقول من الثقة في مالوري، وسوف يزور الروابط مالوري يرسلها.
- لقد قرر مالوري ذلك http: // غير آمنة / يقبل أي معرف جلسة، يقبل معرفات الجلسة من سلاسل الاستعلام وليس لديه أي صحة أمان. http: // غير آمنة / وبالتالي ليس آمنا.
- يرسل مالوري أليس بريد إلكتروني: "مهلا، تحقق من ذلك، فهناك ميزة ملخص حسابات جديدة باردة على بنكنا، http: // غير آمنة /؟ SID = i_will_know_the_sid". يحاول مالوري تحديد SID إلى i_will_know_the_sid.
- أليس مهتمة والزيارات http: // غير آمنة /؟ SID = i_will_know_the_sid. وبعد شاشة تسجيل الدخول المعتادة، وتسجيل أليس.
- زيارات مالوري http: // غير آمنة /؟ SID = i_will_know_the_sid والآن لديه وصول غير محدود إلى حساب أليس.
لا تنتمي إلى StackOverflow
