Können Sie mir ein Beispiel für einen Session-Fixation-Angriff geben?

Question

Ich habe über Session-Fixation gelesen und von dem, was ich verstehe es einen Benutzer zwingt einen Angreifer Sitzung zu verwenden. Ist das richtig? Können Sie mir ein Beispiel geben, wie dies den Benutzer verletzen könnte?

Answer 1

ich normalerweise nicht gerne Links zu Wikipedia schreiben, aber hier ist ein Link zu eine sehr gute Erklärung auf Wikipedia ...

Hier ist das Fleisch davon:

• Alice hat ein Konto bei der Bank http: // unsicher / . Leider ist Alice nicht sehr versierte Sicherheit.

• Mallory ist aus Alices Geld von der Bank zu erhalten.

• Alice hat ein vernünftiges Maß an Vertrauen in Mallory, und besuchen Links Mallory schickt sie.

  1. hat Mallory festgestellt, dass http: // unsicher / akzeptiert jede Sitzungskennung, nimmt Session-IDs von Query-Strings und hat keine Sicherheit Validierung. http:. // unsicher / ist somit nicht sicher
  2. Mallory sendet Alice eine E-Mail: "Hey, check this out, gibt es eine coole neue Kontoübersicht-Funktion auf unserer Bank http: // unsicher / SID = I_WILL_KNOW_THE_SID ". Mallory versucht den SID zu I_WILL_KNOW_THE_SID zu fixieren.
  3. Alice interessiert und Besuche http: // unsicher / SID = I_WILL_KNOW_THE_SID ?. Die übliche Anmeldebildschirm erscheint, und Alice meldet sich an.
  4. Mallory Besuche http: // unsicher / SID = I_WILL_KNOW_THE_SID und hat nun unbegrenzten Zugriff auf Alices Konto?.