Можете ли вы привести мне пример атаки с фиксацией сеанса?
-
13-09-2019 - |
Вопрос
Я читал о фиксации сеанса, и, насколько я понимаю, это заставляет пользователя использовать сеанс злоумышленника.Правильно ли это?Можете ли вы привести мне пример того, как это может оскорбить пользователя?
Решение
Обычно я не люблю размещать ссылки на Википедию, но вот ссылка на очень хорошее объяснение в Википедии...
Вот в чем суть этого:
У Элис есть счет в банке http://unsafe/.К сожалению, Алиса не очень разбирается в безопасности.
Мэллори хочет забрать деньги Элис из банка.
Элис имеет разумный уровень доверия к Мэллори и будет посещать ссылки, которые Мэллори ей присылает.
- Мэллори определил , что http://unsafe/ принимает любой идентификатор сеанса, принимает идентификаторы сеанса из строк запроса и не имеет проверки безопасности. http://unsafe/ таким образом, это небезопасно.
- Мэллори отправляет Элис электронное письмо:"Эй, зацени это, в нашем банке появилась классная новая функция сводки счетов, http://unsafe/?SID=I_WILL_KNOW_THE_SID".Мэллори пытается зафиксировать SID на I_WILL_KNOW_THE_SID.
- Алиса заинтересована и посещает http://unsafe/?SID=I_WILL_KNOW_THE_SID.Появится обычный экран входа в систему, и Алиса войдет в систему.
- Визиты Мэллори http://unsafe/?SID=I_WILL_KNOW_THE_SID и теперь имеет неограниченный доступ к аккаунту Алисы.
Не связан с StackOverflow