Begyndervejledning til forståelse af cookies og sessionsstyring

(Tushar Verma ) (3. august 2020)

Hvad er en cookie ???

Cookies er normalt små tekstfiler, givet ID-tags, der er gemt på din computers browser mappe eller programdata undermapper. Cookies oprettes, når du bruger din browser til at besøge et websted, der bruger cookies til at holde styr på dine bevægelser på webstedet, hjælpe dig med at genoptage, hvor du slap, husk dit registrerede login, temavalg, præferencer, og andre tilpasningsfunktioner. Hjemmesiden gemmer en tilsvarende fil (med samme ID-tag) til den, de indstiller i din browser, og i denne fil kan de spore og gemme oplysninger om dine bevægelser på siden og alle oplysninger, du frivilligt har givet mens du besøger hjemmesiden, f.eks. e-mail-adresse.

For eksempel når du besøger Amazon.in og søg efter Samsung mobiltelefoner, dette bemærkes i din browserhistorik, næste gang du åbner Amazon.in i din browser, læser cookies din browserhistorik, og du får vist Samsung mobiltelefoner på din Amazon-startside.

Hvad gør cookies ???

Sikre websteder bruger cookies til at validere en brugers identitet, når de surfer fra side til side; uden cookies skal loginoplysninger indtastes mellem før hvert produkt tilføjes til indkøbskurv eller ønskeliste.Cookies aktiverer og forbedrer:

1- Kundelogin – 2- Vedvarende indkøbsvogne
3-Ønskelister
4-Produktanbefalinger
5-Bruger grænseflader
6-Bevarelse af kundeadresse og betalingsoplysninger

Der er fem typer cookies: –

1- Sessionscookies-Sessionscookies oprettes midlertidigt i din browsers undermappe, mens du besøger et websted. Når du forlader webstedet, slettes session-cookien.

2- Vedvarende cookies-Vedvarende cookiefiler forbliver i din browsers undermappe og aktiveres igen, når du besøger det websted, der oprettede den pågældende cookie. En vedvarende cookie forbliver i browserens undermappe i den periode, der er angivet i cookiefilen.

3-tredjepartscookies-En cookie indstillet af et domænenavn, der ikke er det domænenavn, der vises i browserens adresselinje disse cookies bruges hovedsageligt til at spore brugernes browsermønstre og / eller finde reklameanbefalingerne til brugeren.

4-Secure Cookie-En sikker cookie kan kun overføres via en krypteret forbindelse. En cookie gøres sikker ved at tilføje det sikre flag til cookien. Browsere, der understøtter det sikre flag, sender kun cookies med det sikre flag, når anmodningen går til en HTTPS-side.

Kun 5-HTTP-cookie-Den informerer browseren om, at denne særlige cookie kun skal åbnes af serveren. Ethvert forsøg på at få adgang til cookien fra klientscriptet er strengt forbudt. Dette er vigtig sikkerhedsbeskyttelse for sessionscookies.

Oprettelse af cookie: –

Funktionen setcookie () bruges til den cookie, der skal sendes sammen med resten af ​​HTTP-overskrifterne. Når en udvikler opretter en cookie med funktionen setcookie , han skal angive mindst tre argumenter. Disse argumenter er setcookie ( navn , værdi , udløb )

Cookie Attributter: –

  1. Navn: Angiver navnet på cookien.
  2. Værdi: Angiver værdien for cookien.
  3. Sikker: angiver, om cookien kun skal transmitteres via en sikker HTTPS-forbindelse. TRUE angiver, at cookien indstilles kun, hvis der findes en sikker forbindelse. Standard er FALSK.
  4. Domæne: angiver cookiens domænenavn. For at gøre cookien tilgængelig på alle underdomæner på example.com skal du indstille domænet til “xyz.com”. Hvis du indstiller den til www.xyz.com , bliver cookien kun tilgængelig i www-underdomænet.
  5. Sti: specificerer serverstien til cookien. Hvis den er indstillet til “/”, vil cookien være tilgængelig inden for hele domænet.Hvis den er indstillet til “/ php /”, vil cookien kun være tilgængelig i php-biblioteket og alle underkataloger til php. Standardværdien er den aktuelle mappe, som cookien indstilles i.
  6. HTTPKun: hvis indstillet til SAND, vil cookien kun være tilgængelig via HTTP-protokollen. Denne indstilling kan hjælpe med at reducere identitetstyveri gennem XSS angreb.Default er FALSK.

Sessions-id

Et session-ID er et unikt nummer, som et websteds server tildeler en bestemt bruger i løbet af den brugers besøg. Sessions-idet kan gemmes som en cookie, formularfelt eller URL.

Forklaring:

Billedkilde: http: // nikolaisammut .blogspot.com / 2012/04 / php-sessions-cookies.html

Der er tre komponenter inde i dette billede: HT TP-klient , HTTP-server og Database (holder session-id).

Trin 1: klienten sender en anmodning til serveren via POST eller GET.

Trin 2: session Id oprettet på webserveren. Server gemmer session-id i databasen og bruger set-cookie-funktionen & send session-id til klientbrowseren som svar.

Trin 3: en cookie med session-id gemt i klientbrowseren sendes tilbage til serveren, hvor serveren matcher den fra databasen og sender et svar som HTTP 200 OK.

Session Fixation Attack

Session fixation er et webapplikationsangreb, hvor angriberen kan narre et offer til at godkende i applikationen ved hjælp af Session Identifier, der leveres af angriberen. I modsætning til session Kapring er ikke afhængig af at stjæle session-ID for en allerede godkendt bruger.

I en enkel måde, angriberen kan sende et link indeholdende fast session-id, og hvis offeret klikker på linket, bliver offerets session-id rettet, da angriberen allerede kender session-idet, så han / hun let kan kapre sessionen.

Target sit: – https://unsecured.nwebsec.com/SessionFixation

Trin 1-> Angrebslog på målwebstedet med hans legitimationsoplysninger.

Attackers sessions-id: –

Trin 2-> Attackers link indeholdende fast session id- https://www.nwebsec.com/SessionSecurity/SessionFixation/SetDomainCookie?id=pzlaaw53lzbmhspousk00avb

Trin 3 -> Attack kan sende dette link via e-mail som offerets klik på det givne link hans session i d vil blive rettet.

Som du kan se nu offeret som allerede klikket på linket og omdirigeret til en login-side med fast session-id

Da du kan se, har offeret samme session-id som angriber. Da session-id for offer og angriber er det samme, skal angriberen opdatere sin side og kan se alle hemmelighederne for offeret .

Tak for læsningen

Kontakt på

LinkedIn- www.linkedin.com/in / tushars25

Instagram- https://www.instagram.com/th3g3nt3lm4n/

Twitter- https://twitter.com/TH3G3NT3LM4N

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *