Útmutató kezdőknek a sütik és a munkamenet-kezelés megértéséhez

(Tushar Verma ) (2020. augusztus 3.)

Mi az a cookie ???

A sütik általában kis szöveges fájlok, adott azonosító címkékkel, amelyeket a számítógépe tárol böngésző könyvtár vagy programadatok almappái. A cookie-k akkor jönnek létre, amikor a böngészőjével meglátogat egy olyan weboldalt, amely cookie-kat használ a webhelyen belüli mozgásának nyomon követéséhez, segít folytatni ott, ahol abbahagyta, emlékezni a regisztrált bejelentkezésre, a téma kiválasztására, a beállításokra és egyéb testreszabási funkciók. A webhely egy megfelelő fájlt (azonos azonosító címkével) tárol az Ön böngészőjében beállított fájlhoz képest, és ebben a fájlban nyomon követhetik és megőrizhetik a webhelyen belüli mozgásaival kapcsolatos információkat és minden olyan információt, amelyet önként adott meg miközben meglátogatja a webhelyet, például e-mail címet.

Például , amikor meglátogatja az Amazon.in webhelyet, és keresse meg a Samsung Mobile Phones alkalmazást, ez felkerül a böngészési előzményeibe, amikor legközelebb megnyitja böngészőjében az Amazon.in webhelyet, a cookie-k beolvassák a böngészési előzményeket, és a Samsung mobiltelefonjai megjelennek az Amazon honlapján.

Mit csinálnak a sütik ???

A biztonságos webhelyek cookie-kat használnak a felhasználó személyazonosságának ellenőrzéséhez, amikor oldalról oldalra böngésznek; cookie-k nélkül minden egyes termék kosárba helyezése előtt meg kell adni a bejelentkezési adatokat. kívánságlista. A cookie-k lehetővé teszik és javítják:

1- Ügyfél bejelentkezése
2- Tartós bevásárlókosarak
3-kívánságlista
4-termékajánlatok
5-egyedi felhasználó interfészek
6 – Az ügyfél címének és fizetési információinak megőrzése

Ötféle cookie létezik: –

1- Munkamenet cookie-Munkamenet sütik ideiglenesen a böngésző almappájában jönnek létre, miközben Ön webhelyet látogat. Amint elhagyja a webhelyet, a munkamenet süti törlődik.

2- Állandó sütik – Állandó sütifájlok a böngésző almappájában maradnak, és újra aktiválódnak, amikor meglátogatja az adott sütit létrehozó webhelyet. a böngésző almappájában marad a sütik fájljában beállított ideig.

Harmadik féltől származó sütik – olyan cookie, amelyet olyan domain név állít be, amely nem az a domain név, amely megjelenik a böngésző címsorában. főleg a felhasználói böngészési minták nyomon követésére és / vagy a felhasználó hirdetési ajánlásainak megtalálására szolgál.

4-Secure Cookie-A biztonságos cookie-k csak titkosított kapcsolaton keresztül továbbíthatók. a süti biztonságos zászlója. A biztonságos zászlót támogató böngészők csak akkor küldik el a biztonságos zászlóval ellátott sütiket, amikor a kérés HTTPS-oldalra kerül.

Csak az 5-HTTP-s sütikről tájékoztatja a böngészőt, hogy ezt a cookie-t csak a a szerver. A cookie-khoz való hozzáférés minden kísérlete szigorúan tilos. Ez a munkamenet-sütik fontos biztonsági védelme.

Cookie-k létrehozása: –

A setcookie () függvény használható a többi HTTP-fejléccel együtt küldendő süti. Amikor egy fejlesztő létrehoz egy cookie-t, a setcookie függvénnyel, legalább három argumentumot kell megadnia. Ezek az argumentumok setcookie ( név , érték , lejárat )

Cookie Attribútumok: –

  1. Név: Megadja a süti nevét.
  2. Érték: Megadja a süti értékét.
  3. Biztonságos: meghatározza, hogy a sütit csak biztonságos HTTPS kapcsolaton keresztül szabad-e továbbítani. A True azt jelzi, hogy a süti csak akkor állítható be, ha biztonságos kapcsolat létezik. Az alapértelmezés HAMIS.
  4. Tartomány: megadja a cookie domain neve. Ha a cookie-t elérhetővé kívánja tenni az example.com összes aldomainjén, állítsa a tartományt „xyz.com” értékre. A www.xyz.com értékre állítva a cookie csak a www aldomainben lesz elérhető.
  5. Elérési út: adja meg a cookie szerver elérési útját. Ha „/” értékre van állítva, akkor a cookie a teljes tartományban elérhető lesz.Ha „/ php /” értékre van állítva, akkor a süti csak a php könyvtárban és a php összes alkönyvtárában lesz elérhető. Az alapértelmezett érték az az aktuális könyvtár, amelyben a cookie be van állítva. div id = “a029403046″>

HTTP Csak: ha IGAZ értékre van állítva, a süti csak a HTTP protokollon keresztül érhető el. Ez a beállítás segíthet az identitás lopásának csökkentésében az XSS segítségével támadások. Az alapértelmezés HAMIS.

Munkamenet-azonosító

A munkamenet-azonosító egy egyedi szám, amelyet a webhely szervere egy adott felhasználóhoz rendel az adott felhasználó látogatása idejére. A munkamenet-azonosító cookie-ként, űrlapmezőként vagy URL-ként tárolható.

Magyarázat:

Kép forrása: http: // nikolaisammut .blogspot.com / 2012/04 / php-session-cookies.html

A képen három összetevő van: HT TP kliens , HTTP szerver és Adatbázis (munkamenet-azonosító megtartása).

1. lépés: az ügyfél kérést küld a szervernek a POST vagy a GET használatával.

2. lépés: session id létrehozva a webszerveren. A szerver elmenti a munkamenet azonosítóját az adatbázisba, és a set-cookie funkció használatával & válaszként küldje el a munkamenet azonosítóját az ügyfél böngészőjének.

3. lépés: az ügyfélböngészőben tárolt munkamenet-azonosítóval ellátott sütit visszaküldik a kiszolgálóra, ahol a szerver egyezteti az adatbázissal, és HTTP 200 OK választ küld.

Munkamenet-javítási támadás

A munkamenet-javítás egy webalkalmazás-támadás, amelyben a támadó becsaphatja az áldozatot, hogy hitelesítse az alkalmazásban a támadó által biztosított munkamenet-azonosítót. A munkamenet eltérítésével ellentétben ez nem egy már hitelesített felhasználó munkamenet-azonosítójának ellopásán alapul.

a támadó egyszerű módon elküldhet egy fix munkamenet-azonosítót tartalmazó linket, és ha az áldozat rákattint a linkre, az áldozat munkamenet-azonosítója javításra kerül, mivel a támadó már ismeri a munkamenet-azonosítót, így könnyen eltérítheti a munkamenetet.

Target sit: – https://unsecured.nwebsec.com/SessionFixation

1. lépés-> Támogatási napló a célhelyen a következővel: hitelesítő adatai.

Attacker munkamenet azonosítója: –

2. lépés> Rögzített munkamenet-azonosítót tartalmazó támadó link- https://www.nwebsec.com/SessionSecurity/SessionFixation/SetDomainCookie?id=pzlaaw53lzbmhspousk00avb

3. lépés -> Attack e-mailben elküldheti ezt a linket, amikor az áldozat kattint a megadott linken az ő munkamenetét i A d javításra kerül.

Amint az áldozat már látható, amikor már rákattintott a linkre, és átirányított egy rögzített munkamenet-azonosítójú bejelentkezési oldalra

Amint láthatja, az áldozatnak ugyanaz a munkamenet-azonosítója, mint a támadónak. Mivel az áldozat és a támadó munkamenet-azonos azonos, a támadónak frissítenie kell az oldalát, és láthatja az áldozat összes titkát .

Köszönjük, hogy elolvasta

Lépjen kapcsolatba a következővel:

LinkedIn- www.linkedin.com/in / tushars25

Instagram- https://www.instagram.com/th3g3nt3lm4n/

Twitter- https://twitter.com/TH3G3NT3LM4N

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük