Aloittelijan opas evästeiden ja istunnonhallinnan ymmärtämiseen

(Tushar Verma ) (3. elokuuta 2020)

Mikä on eväste ???

Evästeet ovat yleensä pieniä tekstitiedostoja, tietyt tunnisteet, jotka on tallennettu tietokoneen selaimen hakemisto tai ohjelmatietojen alikansiot. Evästeet luodaan, kun käyt selaimesi avulla vierailemalla verkkosivustolla, joka käyttää evästeitä seuraamaan liikkumistasi sivuston sisällä, auttamaan sinua jatkamaan siitä, mihin jäit. ja muut räätälöintitoiminnot. Verkkosivusto tallentaa vastaavan tiedoston (samalla henkilötunnuksella) selaimeesi asetettuun tiedostoon, ja tässä tiedostossa he voivat seurata ja säilyttää tietoja liikkumisistasi sivustossa ja kaikki vapaaehtoisesti antamasi tiedot vierailemalla verkkosivustolla, kuten sähköpostiosoite.

Esimerkiksi kun vierailet Amazon.in-sivustossa ja etsi Samsung Mobile Phones, tämä merkitään selaushistoriaasi. Seuraavan kerran, kun avaat Amazon.in selaimessasi, evästeet lukevat selaushistoriasi ja sinulle näytetään Samsungin matkapuhelimet Amazonin etusivulla.

Mitä evästeet tekevät ???

Suojatut verkkosivustot käyttävät evästeitä vahvistaakseen käyttäjän henkilöllisyyden selatessaan sivulta toiselle; ilman evästeitä sisäänkirjautumistiedot olisi syötettävä ennen jokaista koriin lisättyä tuotetta tai toivelista.Evästeet mahdollistavat ja parantavat:

1- Asiakkaan sisäänkirjautuminen – 2- Pysyvät ostoskärryt
3-toivelistat
4-tuotesuositukset
5-käyttäjä käyttöliittymät
6 – Asiakkaan osoitteen ja maksutietojen säilyttäminen

Evästeitä on viisi tyyppiä: –

1- Istunnon evästeet – Istunnon evästeet luodaan väliaikaisesti selaimesi alikansioon, kun vierailet verkkosivustolla. Kun poistut sivustolta, istuntoeväste poistetaan.

2- Pysyvät evästeet – Pysyvät evästetiedostot pysyvät selaimesi alikansiossa ja aktivoituvat uudelleen, kun vierailet kyseisen evästeen luoneella verkkosivustolla. pysyy selaimen alikansiossa evästetiedostossa asetetun keston ajan.

Kolmannen osapuolen evästeet – eväste, jonka asettaa verkkotunnus, joka ei ole verkkotunnus, joka näkyy selaimen osoiterivillä. käytetään pääasiassa käyttäjien selausmallien seuraamiseen ja / tai käyttäjälle tarjottavien mainossuositusten löytämiseen.

4-Secure Cookie-Secure Cookie voidaan lähettää vain salatun yhteyden kautta. turvallinen lippu evästeeseen. Suojattua lippua tukevat selaimet lähettävät evästeitä suojatulla lipulla vain, kun pyyntö menee HTTPS-sivulle.

Vain 5-HTTP -eväste – Se ilmoittaa selaimelle, että tätä evästettä tulisi käyttää vain palvelin. Kaikki yritykset käyttää evästettä asiakasohjelmasta ovat ehdottomasti kiellettyjä. Tämä on tärkeä suojaus istuntoevästeille.

Evästeen luominen: –

Funktiota setcookie () käytetään lähetettävä eväste muiden HTTP-otsikkojen kanssa. Kun kehittäjä luo evästeen, funktio setcookie , hänen on määritettävä vähintään kolme argumenttia. Nämä argumentit ovat setcookie ( nimi , arvo , vanhentuminen )

eväste Attribuutit: –

  1. Nimi: Määrittää evästeen nimen.
  2. Arvo: Määrittää evästeen arvon.
  3. Suojattu: määrittää, lähetetäänkö eväste vain suojatun HTTPS-yhteyden kautta. eväste asetetaan vain, jos suojattu yhteys on olemassa. Oletus on FALSE.
  4. Toimialue: määrittää Jos haluat asettaa evästeen saataville kaikille esimerkin.com aliverkkotunnuksille, aseta toimialueeksi ”xyz.com”. Jos asetat sen arvoon www.xyz.com , eväste on käytettävissä vain www-aliverkkotunnuksessa.
  5. Polku: määrittää evästeen palvelinpolun. Jos asetuksena on ”/”, eväste on käytettävissä koko toimialueella.Jos asetuksena on ”/ php /”, eväste on käytettävissä vain php-hakemistossa ja kaikissa php: n alihakemistoissa. Oletusarvo on nykyinen hakemisto, johon eväste asetetaan.
  6. HTTP: Vain: jos se on TOSI, eväste on käytettävissä vain HTTP-protokollan kautta. Tämä asetus voi auttaa vähentämään henkilöllisyysvarkauksia XSS: n kautta Oletus on EPÄTOSI.

Istunnon tunnus

Istunnon tunnus on yksilöllinen numero, jonka verkkosivuston palvelin määrittää tietylle käyttäjälle kyseisen käyttäjän vierailun ajaksi. Istunnon tunnus voidaan tallentaa evästeeksi, lomakekentäksi tai URL-osoitteeksi.

Selitys:

Kuvalähde: http: // nikolaisammut .blogspot.com / 2012/04 / php-session-cookies.html

Kuvassa on kolme osaa: HT TP-asiakas , HTTP-palvelin ja tietokanta (istunnon tunnuksen pitäminen).

Vaihe1: asiakas lähettää pyynnön palvelimelle POST- tai GET-palvelun kautta.

Vaihe 2: istunnon tunnus luotu verkkopalvelimelle. Palvelin tallentaa istunnon tunnuksen tietokantaan ja lähettää set-cookie-toiminnon avulla & istunnon tunnuksen asiakkaan selaimeen vastauksena.

Vaihe 3: eväste, jonka istuntotunnus on tallennettu asiakkaan selaimeen, lähetetään takaisin palvelimelle, jossa palvelin vastaa sitä tietokannasta ja lähettää vastauksen HTTP 200 OK.

Istunnon korjaushyökkäys

Istunnon korjaus on verkkosovellushyökkäys, jossa hyökkääjä voi huijata uhrin todentamaan sovelluksessa hyökkääjän antaman istunnon tunnuksen avulla. Toisin kuin istunnon kaappaus, tämä ei perustu jo todennetun käyttäjän istuntotunnuksen varastamiseen.

Yksinkertaisella tavalla hyökkääjä voi lähettää linkin, joka sisältää kiinteän istunnon tunnuksen, ja jos uhri napsauttaa linkkiä, uhrin istunnon tunnus korjataan, koska hyökkääjä tietää jo istunnon tunnuksen, jotta hän voi helposti kaapata istunnon.

Kohdeistunto: – https://unsecured.nwebsec.com/SessionFixation

Vaihe 1-> Hyökkäysloki kohdesivustolle hänen kirjautumistietonsa.

Hyökkääjän istunnon tunnus: –

Vaihe 2-> Hyökkääjän linkki, joka sisältää kiinteän istunnon id- https://www.nwebsec.com/SessionSecurity/SessionFixation/SetDomainCookie?id=pzlaaw53lzbmhspousk00avb

Vaihe 3 -> Attack voi lähettää tämän linkin sähköpostitse, kun uhri napsauttaa annetulla linkillä hänen istuntonsa i d korjataan.

Kuten näette nyt uhri, kun hän on jo napsauttanut linkkiä ja ohjata kirjautumissivulle, jolla on kiinteä istunnon tunnus

Kuten näette, uhrilla on sama istunnon tunnus kuin hyökkääjällä. Koska uhrin ja hyökkääjän istuntotunnus on sama, hyökkääjän on päivitettävä sivunsa ja hän voi nähdä kaikki uhrin salaisuudet .

Kiitos lukemisesta

Ota yhteyttä osoitteeseen

LinkedIn- www.linkedin.com/fi / tushars25

Instagram- https://www.instagram.com/th3g3nt3lm4n/

Twitter- https://twitter.com/TH3G3NT3LM4N

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *