Вход на сайт
Session ID. phishing
NEW 22.11.06 19:13
Кто нибудь может мне обяснить второй способ вкратце по русски. http://www.webappsec.org/lists/websecurity/archive/2006-05/msg00029.html
NEW 22.11.06 19:22
в ответ Kislosladkaja 22.11.06 19:13
да кстати я прочла правила форума, возможно тема относитца к недопустимым НО меого друга на днях поимели именно этим способом на очень балшом портале. ПОетому я шитаю что люди должны знать не только как это делаетца, но и что делать ненадо чтоб обезпасить себя.
NEW 23.11.06 13:17
Вкратце:
Фиксация сессии:
1. Атакующий устанавливает сессию на атакуемом сервере и поддерживает сессию в активном состоянии, если имеется таймаут.
2. Атакующий каким-либо способом внедряет значение идентификатора полученной в п.1 сессии в браузер пользователя.
3. Атакующий ожидает аунтификации пользователя на сервере и после его подключения используя полученный идентификатор получает доступ к сессии пользователя.
"Второй способ" ("On the other side have a look how an attacker does it with cookies: ...") из сообщения:
Там говорится о том, что используя XSS в браузер пользователя сажают значиние cookie, которая содержит идентификатор зафиксированной сессии. После чего остаётся дождаться входа пользователя в систему. Т.е. просто говорят про п.2.
п.с. Теперь, вооружившись теоретическими знаниями, можете начинать ломать чей-нить акк на германке.
п.п.с. Или спрашивать о том, какие способы существуют для установки cookie в браузере подопытного.
Фиксация сессии:
1. Атакующий устанавливает сессию на атакуемом сервере и поддерживает сессию в активном состоянии, если имеется таймаут.
2. Атакующий каким-либо способом внедряет значение идентификатора полученной в п.1 сессии в браузер пользователя.
3. Атакующий ожидает аунтификации пользователя на сервере и после его подключения используя полученный идентификатор получает доступ к сессии пользователя.
"Второй способ" ("On the other side have a look how an attacker does it with cookies: ...") из сообщения:
Там говорится о том, что используя XSS в браузер пользователя сажают значиние cookie, которая содержит идентификатор зафиксированной сессии. После чего остаётся дождаться входа пользователя в систему. Т.е. просто говорят про п.2.
п.с. Теперь, вооружившись теоретическими знаниями, можете начинать ломать чей-нить акк на германке.
п.п.с. Или спрашивать о том, какие способы существуют для установки cookie в браузере подопытного.
Dropbox - средство синхронизации и бэкапа файлов.
NEW 23.11.06 16:54
Нет, не только, XSS - это класс уязвимостей вебприложений, когда становится возможным внедрять клиентские скрипты или HTML в просматриваемые пользователями странички.
Dropbox - средство синхронизации и бэкапа файлов.
