¿Me puede dar un ejemplo de un ataque de fijación de sesión?
-
13-09-2019 - |
Pregunta
He leído acerca de la fijación de sesión y por lo que entiendo que obliga al usuario a utilizar la sesión de un atacante. ¿Es esto correcto? ¿Me puede dar un ejemplo de cómo esto podría ofender al usuario?
Solución
Normalmente no me gusta publicar enlaces a Wikipedia, pero aquí hay un enlace a una muy buena explicación de Wikipedia ...
Aquí está la carne de ella:
-
Alice tiene una cuenta en el banco http: // inseguro / . Por desgracia, Alice no es comprensión de la seguridad muy.
-
Mallory es a por el dinero de Alice desde el banco.
-
Alice tiene un nivel razonable de confianza en Mallory, y visitará enlaces Mallory le envía.
- Mallory ha determinado que http: // inseguro / acepta ningún identificador de sesión, acepta identificadores de sesión de cadenas de consulta y no tiene la seguridad validación. http:. // inseguro / está por lo tanto no asegura
- Mallory Alice envía un correo electrónico: "Hey, mira esto, hay una nueva característica fresca resumen de cuenta en nuestro banco, http: // inseguro / SID = I_WILL_KNOW_THE_SID ". Mallory está tratando de fijar el SID a I_WILL_KNOW_THE_SID.
- Alice está interesado y visitas http: // inseguro / SID = I_WILL_KNOW_THE_SID ?. El registro en pantalla usual aparece, y Alice inicia la sesión.
- http: // inseguro / SID = I_WILL_KNOW_THE_SID y ahora tiene acceso ilimitado a la cuenta de Alice?.
Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow