Anfängerhandbuch zum Verständnis von Cookies und Sitzungsmanagement

(Tushar Verma ) (3. August 2020)

Was ist ein Cookie?

Cookies sind normalerweise kleine Textdateien mit ID-Tags, die auf Ihrem Computer gespeichert sind Unterverzeichnisse für Browserverzeichnisse oder Programmdaten. Cookies werden erstellt, wenn Sie mit Ihrem Browser eine Website besuchen, auf der Cookies verwendet werden, um Ihre Bewegungen auf der Website zu verfolgen. Sie können dort weitermachen, wo Sie aufgehört haben. Sie können sich an Ihr registriertes Login, Ihre Themenauswahl und Ihre Einstellungen erinnern. und andere Anpassungsfunktionen. Die Website speichert eine entsprechende Datei (mit demselben ID-Tag) zu der in Ihrem Browser festgelegten. In dieser Datei können sie Informationen über Ihre Bewegungen auf der Website sowie alle Informationen, die Sie möglicherweise freiwillig angegeben haben, verfolgen und speichern während des Besuchs der Website, z. B. E-Mail-Adresse.

Zum Beispiel , wenn Sie Amazon.in und besuchen Wenn Sie nach Samsung-Handys suchen, wird dies in Ihrem Browserverlauf vermerkt. Wenn Sie Amazon.in das nächste Mal in Ihrem Browser öffnen, lesen die Cookies Ihren Browserverlauf und Ihnen werden Samsung-Handys auf Ihrer Amazon-Startseite angezeigt.

Was machen Cookies?

Sichere Websites verwenden Cookies, um die Identität eines Benutzers beim Durchsuchen von Seite zu Seite zu überprüfen. Ohne Cookies müssten Anmeldeinformationen eingegeben werden, bevor jedes Produkt in den Warenkorb gelegt wird oder Wunschliste.Cookies aktivieren und verbessern:

1- Kundenanmeldung
2- Dauerhafte Einkaufswagen
3-Wunschliste
4-Produktempfehlungen
5-Benutzerdefiniert Schnittstellen
6-Kundenadresse und Zahlungsinformationen beibehalten

Es gibt fünf Arten von Cookies: –

1- Sitzungscookies – Sitzungscookies werden vorübergehend im Unterordner Ihres Browsers erstellt, während Sie eine Website besuchen. Sobald Sie die Website verlassen, wird das Sitzungscookie gelöscht.

2- Persistente Cookies – Persistente Cookie-Dateien verbleiben im Unterordner Ihres Browsers und werden erneut aktiviert, sobald Sie die Website besuchen, auf der dieses bestimmte Cookie erstellt wurde. Ein persistentes Cookie verbleibt im Unterordner des Browsers für den in der Cookie-Datei festgelegten Zeitraum.

3-Cookies von Drittanbietern – Ein Cookie, das von einem Domainnamen gesetzt wird, der nicht der Domainname ist, der in der Adressleiste des Browsers für diese Cookies angezeigt wird wird hauptsächlich zum Verfolgen von Benutzer-Browsing-Mustern und / oder zum Auffinden der Werbeempfehlungen für den Benutzer verwendet.

4-sicheres Cookie – Ein sicheres Cookie kann nur über eine verschlüsselte Verbindung übertragen werden. Ein Cookie wird durch Hinzufügen sicher gemacht die sichere Flagge zum Cookie. Browser, die das sichere Flag unterstützen, senden Cookies nur mit dem sicheren Flag, wenn die Anforderung auf eine HTTPS-Seite geleitet wird.

Nur 5-HTTP-Cookie – Es informiert den Browser, dass auf dieses bestimmte Cookie nur zugegriffen werden darf Der Versuch, über das Client-Skript auf das Cookie zuzugreifen, ist strengstens untersagt. Dies ist ein wichtiger Sicherheitsschutz für Sitzungscookies.

Cookie erstellen: –

Die Funktion setcookie () wird für verwendet Das Cookie, das zusammen mit den restlichen HTTP-Headern gesendet werden soll. Wenn ein Entwickler ein Cookie mit der Funktion setcookie erstellt, Er muss mindestens drei Argumente angeben. Diese Argumente sind setcookie ( name , Wert , Ablauf )

Cookie Attribute: –

  1. Name: Gibt den Namen des Cookies an.
  2. Wert: Gibt den Wert des Cookies an.
  3. Sicher: gibt an, ob das Cookie nur über eine sichere HTTPS-Verbindung übertragen werden soll. TRUE gibt dies an Das Cookie wird nur gesetzt, wenn eine sichere Verbindung besteht. Der Standardwert ist FALSE.
  4. Domäne: gibt an Der Domain-Name des Cookies. Um das Cookie in allen Subdomains von example.com verfügbar zu machen, setzen Sie die Domain auf „xyz.com“. Wenn Sie es auf www.xyz.com setzen, wird das Cookie nur in der www-Subdomain verfügbar.
  5. Pfad: gibt den Serverpfad des Cookies an. Wenn „/“ festgelegt ist, ist das Cookie in der gesamten Domäne verfügbar.Bei der Einstellung „/ php /“ ist das Cookie nur im PHP-Verzeichnis und in allen Unterverzeichnissen von PHP verfügbar. Der Standardwert ist das aktuelle Verzeichnis, in dem das Cookie gesetzt wird.
  6. HTTPOnly: Wenn TRUE festgelegt ist, kann auf das Cookie nur über das HTTP-Protokoll zugegriffen werden. Diese Einstellung kann dazu beitragen, Identitätsdiebstahl über XSS zu reduzieren attacks.Default ist FALSE.

Sitzungs-ID

Eine Sitzungs-ID ist eine eindeutige Nummer, die der Server einer Website einem bestimmten Benutzer für die Dauer des Besuchs dieses Benutzers zuweist. Die Sitzungs-ID kann als Cookie, Formularfeld oder URL gespeichert werden.

Erläuterung:

Bildquelle: http: // nikolaisammut .blogspot.com / 2012/04 / php-session-cookies.html

In diesem Bild sind drei Komponenten enthalten: HT TP-Client , HTTP-Server und Datenbank (Sitzungs-ID halten).

Schritt 1: Der Client sendet eine Anfrage per POST oder GET an den Server.

Schritt 2: Sitzungs-ID, die auf dem Webserver erstellt wurde. Der Server speichert die Sitzungs-ID in der Datenbank und sendet mithilfe der Set-Cookie-Funktion & die Sitzungs-ID als Antwort an den Client-Browser.

Schritt 3: Ein Cookie mit einer im Client-Browser gespeicherten Sitzungs-ID wird an den Server zurückgesendet, auf dem der Server mit der Datenbank übereinstimmt, und sendet eine Antwort als HTTP 200 OK.

Sitzungsfixierungsangriff

Die Sitzungsfixierung ist ein Webanwendungsangriff, bei dem der Angreifer ein Opfer dazu verleiten kann, sich in der Anwendung mithilfe der vom Angreifer bereitgestellten Sitzungskennung zu authentifizieren. Im Gegensatz zur Sitzung Hijacking hängt dies nicht vom Diebstahl der Sitzungs-ID eines bereits authentifizierten Benutzers ab.

In Auf einfache Weise kann ein Angreifer einen Link mit einer festen Sitzungs-ID senden. Wenn das Opfer auf den Link klickt, wird die Sitzungs-ID des Opfers korrigiert, da der Angreifer die Sitzungs-ID bereits kennt, sodass er die Sitzung problemlos entführen kann.

Zielsitzung: – https://unsecured.nwebsec.com/SessionFixation

Schritt 1-> Angriffsprotokoll auf der Zielwebsite mit seine Anmeldeinformationen.

Sitzungs-ID des Angreifers: –

Schritt 2-> Link des Angreifers mit fester Sitzungs-ID- https://www.nwebsec.com/SessionSecurity/SessionFixation/SetDomainCookie?id=pzlaaw53lzbmhspousk00avb

Schritt 3 -> Der Angriff kann diesen Link per E-Mail senden, wenn das Opfer darauf klickt auf dem angegebenen Link seine Sitzung i d wird behoben.

Wie Sie jetzt sehen können, hat das Opfer bereits auf den Link geklickt und auf eine Anmeldeseite mit fester Sitzungs-ID umgeleitet.

Wie Sie sehen können, hat das Opfer dieselbe Sitzungs-ID wie der Angreifer. Da die Sitzungs-ID für Opfer und Angreifer identisch ist, muss der Angreifer seine Seite aktualisieren und kann alle Geheimnisse des Opfers sehen

Vielen Dank für das Lesen

Kontaktieren Sie uns unter

LinkedIn- www.linkedin.com/in / tushars25

Instagram- https://www.instagram.com/th3g3nt3lm4n/

Twitter- https://twitter.com/TH3G3NT3LM4N

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.