Können Sie mir ein Beispiel für einen Session-Fixation-Angriff geben?
-
13-09-2019 - |
Frage
Ich habe über Session-Fixation gelesen und von dem, was ich verstehe es einen Benutzer zwingt einen Angreifer Sitzung zu verwenden. Ist das richtig? Können Sie mir ein Beispiel geben, wie dies den Benutzer verletzen könnte?
Lösung
ich normalerweise nicht gerne Links zu Wikipedia schreiben, aber hier ist ein Link zu eine sehr gute Erklärung auf Wikipedia ...
Hier ist das Fleisch davon:
-
Alice hat ein Konto bei der Bank http: // unsicher / . Leider ist Alice nicht sehr versierte Sicherheit.
-
Mallory ist aus Alices Geld von der Bank zu erhalten.
-
Alice hat ein vernünftiges Maß an Vertrauen in Mallory, und besuchen Links Mallory schickt sie.
- hat Mallory festgestellt, dass http: // unsicher / akzeptiert jede Sitzungskennung, nimmt Session-IDs von Query-Strings und hat keine Sicherheit Validierung. http:. // unsicher / ist somit nicht sicher
- Mallory sendet Alice eine E-Mail: "Hey, check this out, gibt es eine coole neue Kontoübersicht-Funktion auf unserer Bank http: // unsicher / SID = I_WILL_KNOW_THE_SID ". Mallory versucht den SID zu I_WILL_KNOW_THE_SID zu fixieren.
- Alice interessiert und Besuche http: // unsicher / SID = I_WILL_KNOW_THE_SID ?. Die übliche Anmeldebildschirm erscheint, und Alice meldet sich an.
- Mallory Besuche http: // unsicher / SID = I_WILL_KNOW_THE_SID und hat nun unbegrenzten Zugriff auf Alices Konto?.
Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow