Описание тега session-hijacking
Захват сеанса - это тип атаки на сетевую безопасность, основанный на "угадывании" номеров ISN TCP-пакетов и получении контроля над коммуникацией. Злоумышленник перехватывает и повторно передает сообщения, например, связь все еще продолжается. Атака выполняется с помощью программы, которая выступает как сервис для клиента и как клиент для сервера.
2
ответа
Могут ли сеансы управляться пользователем на стороне клиента?
История вопроса: у нас есть веб-сайт с тысячами пользователей и несколькими администраторами. Некоторым из этих администраторов не нужен полный доступ к веб-сайту, поэтому я хочу ограничить их доступ, предоставив им индивидуальные разрешения. Мой пл…
12 фев '13 в 14:24
1
ответ
Передача HTTP-сессии для стороннего сайта с сервера на клиент
Допустим, мое веб-приложение действует от имени пользователей, которые предоставляют свои учетные данные моему приложению, чтобы приложение могло выполнять вызовы API сторонней службе. Кстати, это для публикации предложений о товарах на стороннем са…
09 фев '12 в 18:26
1
ответ
Насколько безопасны переменные сессии php
На моем веб-сайте есть административная панель, из которой я могу войти для управления своим веб-сайтом, и для аутентификации при входе в систему я использую код, который проверяет, существуют ли имя пользователя и пароль в БД, и если да, я устанавл…
20 сен '15 в 22:33
0
ответов
Войти через сеанс или куки, созданные на виртуальном сервере
Как мы знаем, когда мы входим в систему, они создают сеансы или файлы cookie определенного типа, чтобы отслеживать, какой пользователь вошел в систему, и дальнейшая обработка основана на идентификаторе сеанса или файлах cookie. Можно ли получить сеа…
17 авг '15 в 13:32
0
ответов
DroidSheep Genymotion IDLE и сессий не найдено
Я новичок в Genymotion, и я использовал это приложение DroidSheep, используемое для пентестинга или взлома сетей. Мне сказали, что это руководство здесь https://www.youtube.com/watch?v=4N-SBx5EF3g чтобы запустить программу и дождаться результатов, п…
06 авг '16 в 12:58
1
ответ
Ошибка нарушения CSP для заблокированного URI https://searches8704500-a.akamaihd.net
Я добавил CSP в свое приложение, и за последние несколько дней мой CSP-отчет отправляет письмо о нарушении правила, в котором заблокирован uri - https://searches8704500-a.akamaihd.net/. Я не уверен, что это или это атака вредоносного браузера любого…
20 ноя '18 в 05:17
4
ответа
Сессия Угон на практике
Я недавно читал об исправлении / угоне сессии и понимаю теорию. Чего я не понимаю, так это того, как это будет использоваться на практике. Придется ли вам вмешиваться в ваш браузер, чтобы использовать украденные куки? Добавить его в URL и передать в…
01 дек '09 в 18:33
1
ответ
PHP аутентификация безопасности
Я создаю базовую систему аутентификации php для моего веб-проекта. Я просто хочу спросить, это безопасно, потому что я просто беспокоюсь о перехвате сеанса и проблемах с внедрением SQL. Код ниже. поле формы пользователя содержит имя поля user_email …
15 апр '17 в 11:28
1
ответ
Использование временных меток для предотвращения перехвата сеанса?
Я искал способы защиты от перехвата сеансов, когда кто-то крал cookie-файл сеанса и использовал его для получения доступа к системе. Такие программы, как http://codebutler.com/firesheep позволяют легко прослушивать сеансы в открытых беспроводных сет…
16 июн '11 в 20:36
1
ответ
Угон моего собственного сеанса в разных браузерах
Я пытаюсь войти в свое веб-приложение с помощью Firefox, когда я вошел в систему с помощью Chrome. Я хочу использовать те же файлы cookie, что и в Chrome, добавить их в Firefox и войти в систему. Это правильный способ сделать это?
05 дек '18 в 15:17
0
ответов
Предотвращение угона сессии, фиксации, инъекции и т. Д.
Я создаю систему входа в систему и много читаю о мерах безопасности, необходимых для предотвращения перехвата сеансов, фиксации, атак с использованием инъекций и т. Д. Я определенно не эксперт по безопасности - я собрал воедино многие из них с помощ…
30 дек '18 в 02:56
1
ответ
Зарегистрировавшиеся в пользовательской сессии перемешались в Grails Spring Security на Tomcat
У меня есть приложение в Grails, использующее Spring-Security для управления пользователями и ролями. Поскольку последние несколько дней я сталкиваюсь со странной проблемой: когда один пользователь входит в систему в какой-то момент, он становится д…
14 июн '17 в 03:50
1
ответ
Воспроизведение сессии против фиксации сессии против перехвата сессии
Привет, ребята, кто-нибудь может дать четкую разницу между фиксацией сеанса, воспроизведением сеанса и атаками перехвата сеанса, я прочитал много статей, но до сих пор неясен вопрос между перехватом сеанса и атаками повторного сеанса..... заранее сп…
03 май '17 в 06:42
2
ответа
Обнаружен перехват сеанса PHP
У меня есть этот код: if (isset( $_SESSION['user_agent'] )) { if ($_SESSION['user_agent'] != md5( $_SERVER['HTTP_USER_AGENT'] )) { die('Session error.'); } } Все отлично работает Но каждый раз, когда я вхожу (один раз в 24 часа), я получаю ошибку. М…
02 фев '13 в 14:53
2
ответа
Защита аутентифицированного сеанса PHP от перехвата сеанса через перехват пакетов
Меня интересует тема защиты сессий PHP без использования SSL. К моему удивлению, если посредник прослушивает пакеты, которыми обмениваются пользователь и сервер, очень легко украсть сеанс, даже если он аутентифицирован. Я знаю, что есть некоторые та…
06 июн '12 в 02:09
0
ответов
Session Hijacking, это возможно?
Я попытался с почтальоном с некоторым SessionId опубликовать запрос аутентификации пост. Мой вопрос, очень похож на этот пост, это: Если использовать java-программу для получения идентификатора сеанса пользователя (сохраненного в файле cookie) и отп…
13 окт '15 в 18:30
1
ответ
Session Cookie Hijack
ASP.Net Хранит сеанс в куки. Мое беспокойство: может ли любой другой пользователь того же клиентского компьютера получить доступ к этому файлу cookie и украсть мой сеанс? И почему? Я думаю, что этот вопрос актуален для PHP, Java и всех веб-технологи…
18 мар '14 в 12:22
1
ответ
Доступ к файлам cookie Facebook в браузере
Когда я набираю javascript:alert(document.cookie) в строке URL я вижу только те cookie, которые Facebook установил для моей учетной записи. Я думаю, что это потому, что другие куки только http. Первый вопрос: это правда? Являются ли некоторые файлы …
19 ноя '11 в 07:39
1
ответ
Предотвращение перехвата файлов cookie сеанса БЕЗ SSL
Чтобы предотвратить перехват сеанса, я попытался назначить конкретное имя файла cookie каждому пользователю на основе этих переменных: User-agent и IP Address. Я использовал следующую функцию для генерации имени файла cookie сеанса, который содержи…
22 сен '12 в 12:09
2
ответа
Проверка наличия файла cookie в браузере клиента без ожидания следующего подключения
Я создаю библиотеку управления сеансом, которая предназначена для реализации (ограниченной) формы безопасности в хранилище сеансов, чтобы предотвратить перехват сеансов (без SSL). Он работает путем установки одноразового cookie, который заменяется с…
29 июл '13 в 12:52