Pouvez-vous me donner un exemple d'une attaque de fixation de la session?
-
13-09-2019 - |
Question
J'ai lu au sujet de la fixation de session et de ce que je comprends qu'il oblige un utilisateur à utiliser la session d'un attaquant. Est-ce correct? Pouvez-vous me donner un exemple de la façon dont cela pourrait offenser l'utilisateur?
La solution
Je n'ai pas l'habitude de poster des liens vers Wikipedia, mais voici un lien vers une très bonne explication sur wikipedia ...
Voici la viande de celui-ci:
-
Alice a un compte à la banque http: // dangereux / . Malheureusement, Alice n'est pas très avertis de sécurité.
-
Mallory est dehors pour obtenir l'argent d'Alice de la banque.
-
Alice a un niveau raisonnable de confiance dans Mallory et visitera des liens Mallory lui envoie.
- Mallory a déterminé que http: // dangereux / accepte un identifiant de session, accepte les identifiants de session à partir des chaînes de requête et n'a pas de sécurité validation. http: //. dangereux / est donc pas sécurisé
- Mallory envoie Alice e-mail: "Hé, vérifier cela, il y a une nouvelle fonctionnalité sommaire de compte frais sur notre banque, http: // dangereux / SID = I_WILL_KNOW_THE_SID ". Mallory tente de fixer le SID I_WILL_KNOW_THE_SID.
- Alice est intéressé et visites http: // dangereux / SID = I_WILL_KNOW_THE_SID ?. Le journal sur écran ordinaire apparaît, et enregistre Alice sur.
- http: // dangereux / SID = I_WILL_KNOW_THE_SID et dispose désormais d'un accès illimité au compte d'Alice?.
Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow