Перехват пользовательской сессии

09 Августа 2012 Безопасность

Сегодня прочитал в журнале Хакер в типсах следующий вариант атаки:

1. Злой дядька входит на атакуемый сайт и авторизуется на нем. Запоминаем свой SessionID

2. 3лоумышленник подкидывает неавторизованному на сервере пользователю ссылку на скрипт с сервера, который устанавливает куки с идентификатором злоумышленника.

Это реально возможно? Неужели где-то возможен вариант на сайте, где имя Cookie переменной или ID сессии может задать пользователь сайта? Да за такие вещи нужно расстреливать. Сталина на них нет.

Никогда в жизни пользователь не должен иметь возможности изменить ID своей сессии. Никогда в жизни ни одно имя переменной Cookie не должно задаваться пользователем. Я даже представить себе не могу что происходило в голове программиста, если кто-то смог реализовать подобное.

Или в журнале просто выдумали этот вариант взлома просто для красоты? Там конкретный сайт не назывался, поэтому меня очень удивило, какой скрипт на сайте может захотеть задавать ID сесии, принимая значения через параметры.

Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым

Что-то попахивает враньем. Вообще нормальные люди, изменяют сессию время от времени, пользуясь функцией session_regenerate_id() и как вообще можно это дело изменить, что-то даже в голове не укладывается.
Есть только один вариант, когда передается id сессии в параметре GET на сайте, да и то, что-то маловероятно.

Михаил Фленов

10 Августа 2012

А разве куки нельзя поправить прямо в браузере?

Я могу изменить Cookie локально с ID1 на ID2, но на сервере моя сессия все еще будет под ID1. Если ты знаешь чейто ID, то можешь поменять свои Cooke и перехватить сессию. Но заставить другого пользователя поменять ID просто переходом на сайт практически нереально, потому что ни один сайт не должен менять сессию, как описано в примере.

Добавить Комментарий

Сегодня я развлекался по полной программе. Сын просил закинуть ему на Windows Phone (точнее, это уже плеер, а не phone) новую музыку и я сегодня в выходной с утра собрался со временем и решил закинуть. Вчера предварительно зарядил телефон, чтобы все прошло, как по маслу, но по маслу ничего не пошло.

Началось утро с того, что я взял из iTunes на своем маке в плейлисте выделил песни, которые мне нужны, и перетащил их в папку на сетевом диске. На этом простота жизни закончилась.

Загружаю свой старый HP на Windows 7, который уже давно забрала дочка и начал пытаться забросить песни в Zune. Перетащил их мышкой на плейлист, не получилось. Попробовал на телефон, тоже не прошло. Куда бы я не пытался кинуть песни, Zune их просто игнорировал.

Синхронизация музыки в Windows Phone

Ну вот мне и 36 даже по канадскому времени. 36 - это прекрасная температура тела, если добавить 6 десяток. 36 - это трижды по 12, а 12 - это мега магическое число. Теперь 36 - это еще и мой возраст.

А что такое 12? Это 12 месяцев в году и 12 часов днем + 12 часов ночью. Это 12 знаков задиака и 12 лет моей дочке, причем тоже сегодня. Мы с ней родились в один день, мы с ней львы и мы с ней драконы. Как я ее нежно называю - драная кошка (смесь дракона и льва).

36 не 6

Вчера на работе парню из нашей команды прибыл Sony Tablet для тестов. Если кто не в курсе, то у нас все на работе на новый год получили по iPad и он в том числе. До этого у него не было продукции Apple и он к ней относился достаточно параллельно, как он говорил, но мне кажется, что он очень даже плохо относился до того, как сел за iPad.

Интересно было со стороны смотреть, как ИТ человек тестирует чужое устройство. Уже через пол часа он в полный голос сообщил: «никогда не думал, что буду любить продукцию Apple, но посидев за Android и понимаю, что меня в нем бесит практически все».

Жаль я не слышал все, что он успел нарыть про Android, но то, что я услышал:

Android на Sony Tablet

Сижу сейчас (во время написания этих строк, потому что не знаю, когда опубликую на блоге) на берегу озера Huron, пляж, солнце, только вот ветер очень сильный. Боюсь завтра уши будут болеть. Пишу эту заметку на MacBook Air и лишний раз понимаю, что не зря я выбрал этот ноутбук.

Я не раз ходил с детьми гулять и брал с собой Windows ноутбуки. Так вот, уже при средней яркости солнца ничего на экране не видно. Помню как два года назад сидел под школой и прятался в тени деревьев, чтобы хоть что-то увидеть.

Не могу сказать, что у MacBook все идеально видно, все же против солнца достаточно сложно устоять, но яркости моего Air вполне достаточно, чтобы можно было работать совершенно не в тени на берегу под солнцем. Просто включил яркость на полную и вполне реально стало печатать. Правда и аккумулятор садится в два раза быстрее. За пол часа посадил уже почти 17%. То есть в лучшем случае батареи хватит еще на 3 часа.

Экран ноутбука MacBook Air

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Ссылки

Последние комментарии
О блоге
Мои железки
Марафон ИТ желаний
RSS

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне

А здесь еще и копирайт поставлю: Professional Web Development.

На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.

Перехват пользовательской сессии

Комментарии

vitaliy

Михаил Фленов

vitaliy

Vano

ZeroXor

Виталий

Михаил Фленов

Добавить Комментарий

Еще что-нибудь

О блоге

Ссылки

Обратная связь

Перехват пользовательской сессии

А еще поделитесь с друзьями

Комментарии

vitaliy

Михаил Фленов

vitaliy

Vano

ZeroXor

Виталий

Михаил Фленов

Добавить Комментарий

Еще что-нибудь

О блоге

Ссылки

Обратная связь