Mi può fare un esempio di un attacco di fissazione sessione?
-
13-09-2019 - |
Domanda
Ho letto di fissazione sessione e da quanto ho capito costringe un utente di utilizzare la sessione di un attaccante. È corretto? Mi può dare un esempio di come questo potrebbe offendere l'utente?
Soluzione
Io di solito non piace postare link a Wikipedia, ma ecco un link a un'ottima spiegazione su Wikipedia ...
Ecco la carne di esso:
-
Alice ha un conto presso la banca http: // non sicuro / . Purtroppo, Alice non è molto esperto di sicurezza.
-
Mallory è fuori per ottenere i soldi di Alice dalla banca.
-
Alice ha un ragionevole livello di fiducia nei Mallory, e visiterà i collegamenti Mallory la manda.
- Mallory ha stabilito che http: // non sicuro / accetta qualsiasi identificatore di sessione, accetta di identificativi di sessione da stringhe di query e non ha la sicurezza convalida. http: //. insicuro / è quindi non sicura
- Mallory invia Alice una e-mail: "Hey, check this out, v'è una nuova caratteristica fredda sintesi conto sulla nostra banca, http: // non sicuro / SID = I_WILL_KNOW_THE_SID ". Mallory sta cercando di fissare il SID per I_WILL_KNOW_THE_SID.
- Alice è interessato e visite http: // non sicuri / SID = I_WILL_KNOW_THE_SID ?. Il solito log-on schermo si apre, e Alice accede.
- http: // non sicuri / SID = I_WILL_KNOW_THE_SID e ora ha accesso illimitato al conto di Alice?.
Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow