Průvodce pro začátečníky k pochopení souborů cookie a správy relací

(Tushar Verma ) (3. srpna 2020)

Co je to soubor cookie ???

Soubory cookie jsou obvykle malé textové soubory, jejichž ID tagy jsou uloženy ve vašem počítači adresář prohlížeče nebo podsložky dat programu. Soubory cookie se vytvářejí, když pomocí prohlížeče navštívíte web, který pomocí souborů cookie sleduje vaše pohyby na webu, pomáhá vám pokračovat tam, kde jste přestali, pamatovat si vaše registrované přihlášení, výběr motivu, preference, a další funkce přizpůsobení. Web ukládá odpovídající soubor (se stejnou ID značkou) do souboru, který nastavili ve vašem prohlížeči, a v tomto souboru mohou sledovat a udržovat informace o vašem pohybu na webu a jakékoli informace, které jste dobrovolně poskytli při návštěvě webu, například e-mailové adresy.

Například při návštěvě webu Amazon.in a vyhledejte mobilní telefony Samsung, toto se zaznamená do historie procházení, při příštím otevření Amazon.in ve vašem prohlížeči soubory cookie načtou vaši historii procházení a mobilní telefony Samsung se zobrazí na vaší domovské stránce Amazonu.

Co cookies dělají ???

Zabezpečené weby používají soubory cookie k ověření identity uživatele při procházení ze stránky na stránku; bez souborů cookie by bylo nutné zadat přihlašovací údaje mezi každým produktem přidaným do košíku nebo seznam přání. Soubory cookie povolit a vylepšit:

1- Přihlášení zákazníka
2- Trvalé nákupní vozíky
3-Seznamy přání
4-Doporučení k produktu
5-Vlastní uživatel rozhraní
6-Zachování adresy zákazníka a platebních údajů

Existuje pět typů souborů cookie: –

1- relační soubory cookie – relační soubory cookie jsou dočasně vytvořeny v podsložce vašeho prohlížeče, když navštěvujete web. Jakmile web opustíte, cookie relace se smaže.

2 – Trvalé soubory cookie – Trvalé soubory cookie zůstávají v podsložce vašeho prohlížeče a znovu se aktivují, jakmile navštívíte web, který daný konkrétní soubor cookie vytvořil. zůstává v podsložce prohlížeče po dobu nastavenou v souboru cookie.

Cookies třetích stran – soubor cookie nastavený podle názvu domény, který není názvem domény, který se zobrazuje v adresním řádku prohlížeče tyto soubory cookie se používá hlavně ke sledování vzorů procházení uživatelů a / nebo k vyhledání doporučení reklamy pro uživatele.

4-Secure Cookie – Zabezpečený soubor cookie lze přenášet pouze prostřednictvím šifrovaného připojení. Soubor cookie je zabezpečen přidáním zabezpečený příznak souboru cookie. Prohlížeče, které podporují zabezpečený příznak, odešlou soubory cookie se zabezpečeným příznakem pouze v případě, že požadavek přejde na stránku HTTPS.

Pouze 5-HTTP Cookie – informuje prohlížeč, že k tomuto konkrétnímu souboru cookie by měl přistupovat pouze server. Jakýkoli pokus o přístup k cookie z klientského skriptu je přísně zakázán. Toto je důležitá bezpečnostní ochrana pro relační cookies.

Vytváření souborů cookie: –

Funkce setcookie () se používá pro soubor cookie, který se má odeslat spolu se zbytkem hlaviček HTTP. Když vývojář vytvoří soubor cookie, s funkcí setcookie , musí zadat alespoň tři argumenty. Tyto argumenty jsou setcookie ( name , hodnota , expirace )

soubor cookie Atributy: –

  1. Název: Určuje název souboru cookie.
  2. Hodnota: Určuje hodnotu souboru cookie.
  3. Zabezpečeno: určuje, zda se má soubor cookie přenášet pouze přes zabezpečené připojení HTTPS. Pravda označuje, že soubor cookie bude nastaven pouze v případě, že existuje zabezpečené připojení. Výchozí hodnota je FALSE.
  4. Doména: upřesňuje název domény souboru cookie. Chcete-li soubor cookie zpřístupnit ve všech subdoménách webu example.com, nastavte doménu na „xyz.com“. Nastavením na www.xyz.com bude soubor cookie k dispozici pouze v subdoméně www.
  5. Cesta: určuje cestu k souboru cookie na serveru. Je-li nastaveno na „/“, bude soubor cookie k dispozici v celé doméně.Pokud je nastaveno na „/ php /“, bude cookie k dispozici pouze v adresáři php a ve všech podadresářích php. Výchozí hodnota je aktuální adresář, do kterého je soubor cookie nastaven.
  6. HTTPOnly: je-li nastaveno na TRUE, bude soubor cookie přístupný pouze prostřednictvím protokolu HTTP. Toto nastavení může pomoci omezit krádež identity pomocí XSS útoky. Výchozí hodnota je NEPRAVDA.

ID relace

ID relace je jedinečné číslo, které server webu přiřadí konkrétnímu uživateli po dobu jeho návštěvy. ID relace lze uložit jako soubor cookie, pole formuláře nebo adresu URL.

Vysvětlení:

Zdroj obrázku: http: // nikolaisammut .blogspot.com / 2012/04 / php-sessions-cookies.html

Na tomto obrázku jsou tři součásti: HT TP klient , HTTP server a Databáze (ID relace).

Krok 1: klient odešle požadavek na server POST nebo GET.

Krok 2: ID relace vytvořené na webovém serveru. Server uloží ID relace do databáze a pomocí funkce set-cookie & odešle ID relace do prohlížeče klienta jako odpověď.

Krok 3: soubor cookie s ID relace uložený v prohlížeči klienta se odešle zpět na server, kde jej server porovná z databáze a odešle odpověď jako HTTP 200 OK.

Útok fixace relace

Fixace relace je útok webové aplikace, při kterém může útočník přimět oběť k ověření v aplikaci pomocí identifikátoru relace poskytnutého útočníkem. Na rozdíl od únosu relace se to nespoléhá na krádež ID relace již ověřeného uživatele.

V jednoduchý způsob, jak může útočník poslat odkaz obsahující pevné ID relace, a pokud oběť klikne na odkaz, ID relace oběti bude opraveno, protože útočník již ID relace zná, aby mohl relaci snadno unést.

Target sit: – https://unsecured.nwebsec.com/SessionFixation

Krok 1> Protokol útoku na cílovém webu pomocí jeho pověření.

ID relace útočníka: –

Krok 2> Odkaz útočníka obsahující ID pevné relace – https://www.nwebsec.com/SessionSecurity/SessionFixation/SetDomainCookie?id=pzlaaw53lzbmhspousk00avb

Krok 3 -> Útok může odeslat tento odkaz e-mailem jako kliknutí oběti na daném odkazu jeho relace i d bude opraveno.

Jak nyní vidíte, oběť již klikla na odkaz a byla přesměrována na přihlašovací stránku s pevným ID relace

Jak vidíte, oběť má stejné ID relace jako útočník. Protože ID relace pro oběť a útočník je stejné, musí útočník obnovit svou stránku a zobrazit všechna tajemství oběti .

Děkujeme za přečtení

Kontaktujte nás

LinkedIn- www.linkedin.com/in / tushars25

Instagram- https://www.instagram.com/th3g3nt3lm4n/

Twitter- https://twitter.com/TH3G3NT3LM4N

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *