Você pode me dar um exemplo de um ataque de fixação de sessão?
-
13-09-2019 - |
Pergunta
Eu li sobre fixação de sessão e, pelo que eu entendo que obriga o usuário a usar a sessão de um atacante. Isso é correto? Você pode me dar um exemplo de como isso pode ofender o usuário?
Solução
Eu não normalmente como para postar links para Wikipedia, mas aqui está um link para uma boa explicação sobre Wikipedia ...
Aqui está a carne dele:
-
Alice tem uma conta no banco http: // inseguro / . Infelizmente, Alice não é muito mais experiente de segurança.
-
Mallory está fora para obter o dinheiro de Alice do banco.
-
Alice tem um nível razoável de confiança em Mallory, e visitará ligações Mallory envia-la.
- Mallory determinou que http: // inseguro / aceita qualquer identificador de sessão, aceita identificadores de sessão a partir de seqüências de consulta e não tem segurança validação. http:. // inseguro / , assim, não é seguro
- Mallory envia Alice um e-mail: "Ei, veja isso, há uma característica resumo da conta nova legal em nosso banco, http: // inseguro / SID = I_WILL_KNOW_THE_SID ". Mallory está tentando fixar o SID para I_WILL_KNOW_THE_SID.
- Alice está interessado e visitas http: // inseguro / SID = I_WILL_KNOW_THE_SID ?. O log-on tela normal aparece, e Alice inicia sessão.
- http: // inseguro / SID = I_WILL_KNOW_THE_SID e agora tem acesso ilimitado a conta de Alice?.
Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow