Можно ли дать мне пример нападения фиксации сессии?
По моему опыту, это - просто вопрос повторения. Поместите свои данные и код везде, где Вы думаете, что они идут. Возможности, Вы будете неправы так или иначе. Но как только Вы получаете лучшее представление о точно, как дела идут развиться, Вы находитесь в намного лучшем положении для создания этих видов предположений.
До дополнительных источников, у нас есть каталог Code под соединительной линией, которая содержит каталог для Python и каталог для различных других языков. Лично, я более склонен попытаться поместить любой дополнительный код в его собственный репозиторий в следующий раз вокруг.
После этих слов я возвращаюсь к своей начальной точке: не заключайте слишком большую сделку из него. Поместите его где-нибудь, который, кажется, работает на Вас. Если Вы находите что-то, что не работает, это может (и если) изменяются.
1 ответ
Я не Обычно я люблю размещать ссылки на Википедию, но вот ссылка на очень хорошее объяснение в Википедии ...
Вот его суть:
У Алисы есть счет в банке http: // unsafe / . К сожалению, Алиса не очень разбирается в вопросах безопасности.
Мэллори пытается получить деньги Алисы в банке.
Алиса имеет разумный уровень доверия к Мэллори и будет посещать ссылки, которые Мэллори отправляет ей.
- Мэллори определила что http: // unsafe / принимает любой идентификатор сеанса, принимает идентификаторы сеанса из строк запроса и не имеет проверки безопасности. http: // unsafe / , таким образом, небезопасен.
- Мэллори отправляет Алисе электронное письмо: «Эй, проверьте это, в нашем банке есть новая классная функция сводки счетов, http: // unsafe /? SID = I_WILL_KNOW_THE_SID ". Мэллори пытается зафиксировать SID на I_WILL_KNOW_THE_SID.
- Алиса заинтересована и посещает http: // unsafe /? SID = I_WILL_KNOW_THE_SID . Появляется обычный экран входа в систему, и Алиса входит в систему.
- Мэллори посещает http: // unsafe /? SID = I_WILL_KNOW_THE_SID и теперь имеет неограниченный доступ к учетной записи Алисы.