Nybegynnerveiledning for å forstå informasjonskapsler og øktadministrasjon

(Tushar Verma ) (3. august 2020)

Hva er en informasjonskapsel ???

Informasjonskapsler er vanligvis små tekstfiler, gitt ID-koder som er lagret på datamaskinens nettleserkatalog eller programdata-undermapper.Cookies opprettes når du bruker nettleseren din til å besøke et nettsted som bruker informasjonskapsler for å holde oversikt over bevegelsene dine på nettstedet, hjelpe deg å fortsette der du slapp, husk din registrerte pålogging, temavalg, preferanser, og andre tilpasningsfunksjoner. Nettstedet lagrer en tilsvarende fil (med samme ID-tag) til den de setter i nettleseren din, og i denne filen kan de spore og beholde informasjon om bevegelsene dine på nettstedet og all informasjon du måtte ha gitt frivillig mens du besøker nettstedet, for eksempel e-postadresse.

For eksempel når du besøker Amazon.in og søk etter Samsung-mobiltelefoner, dette blir notert i nettleserloggen din, neste gang du åpner Amazon.in i nettleseren din, leser informasjonskapslene nettleserloggen din, og du vil vises Samsung mobiltelefoner på Amazon-hjemmesiden din.

Hvilke informasjonskapsler gjør ???

Sikre nettsteder bruker informasjonskapsler for å validere brukerens identitet når de surfer fra side til side; uten informasjonskapsler, må påloggingsinformasjonen legges inn mellom før hvert produkt legges til i handlekurven eller ønskeliste.Cookies aktiverer og forbedrer:

1- Kundelogg på
2- Vedvarende handlevogner
3-Ønskelister
4-Produktanbefalinger
5-Tilpasset bruker grensesnitt
6-Behold kundeadresse og betalingsinformasjon

Det er fem typer informasjonskapsler: –

1- Sesjons-informasjonskapsler-Økt-informasjonskapsler blir opprettet midlertidig i nettleserens undermappe mens du besøker et nettsted. Når du forlater nettstedet, blir øktcookien slettet.

2- Vedvarende informasjonskapsler – Vedvarende informasjonskapselfiler forblir i nettleserens undermappe og aktiveres igjen når du besøker nettstedet som opprettet den aktuelle informasjonskapselen. forblir i nettleserens undermappe i den tidsperioden som er angitt i informasjonskapselens fil.

3-tredjeparts informasjonskapsler-En informasjonskapsel satt av et domenenavn som ikke er domenenavnet som vises i nettleserens adressefelt brukes hovedsakelig for å spore brukernes surfemønstre og / eller finne reklame-anbefalingene for brukeren.

4-Secure Cookie-En sikker cookie kan bare overføres via en kryptert tilkobling. En cookie gjøres sikker ved å legge til det sikre flagget til informasjonskapselen. Nettlesere som støtter det sikre flagget vil bare sende informasjonskapsler med det sikre flagget når forespørselen går til en HTTPS-side.

Bare 5-HTTP-informasjonskapsel – Den informerer nettleseren om at denne spesielle informasjonskapselen bare skal være tilgjengelig av serveren. Ethvert forsøk på å få tilgang til informasjonskapselen fra klientskriptet er strengt forbudt. Dette er viktig sikkerhetsbeskyttelse for øktcookies.

Opprette informasjonskapsel: –

setcookie () -funksjonen brukes til informasjonskapselen som skal sendes sammen med resten av HTTP-overskriftene. Når en utvikler oppretter en informasjonskapsel, med funksjonen setcookie , han må spesifisere minst tre argumenter. Disse argumentene er setcookie ( navn , verdi , utløp )

Cookie Attributter: –

  1. Navn: Spesifiserer navnet på informasjonskapselen.
  2. Verdi: Angir verdien på informasjonskapselen.
  3. Sikker: angir om informasjonskapselen bare skal overføres over en sikker HTTPS-forbindelse. TRUE indikerer at informasjonskapselen blir bare angitt hvis det er en sikker tilkobling. Standard er FALSK.
  4. Domene: spesifiserer cookienes domenenavn. For å gjøre informasjonskapselen tilgjengelig på alle underdomener på example.com, sett domenet til «xyz.com». Hvis du setter den til www.xyz.com , blir informasjonskapselen bare tilgjengelig i www-underdomenet.
  5. Sti: angir serverstien til informasjonskapselen. Hvis den er satt til “/”, vil informasjonskapselen være tilgjengelig i hele domenet.Hvis den er satt til “/ php /”, vil informasjonskapselen bare være tilgjengelig i php-katalogen og alle underkataloger til php. Standardverdien er den nåværende katalogen som cookien blir satt i.
  6. HTTPBare: hvis den er satt til SANT, vil informasjonskapselen bare være tilgjengelig gjennom HTTP-protokollen. Denne innstillingen kan bidra til å redusere identitetstyveri gjennom XSS angrep.Default er FALSE.

Sessions-ID

En økt-ID er et unikt nummer som serveren til et nettsted tildeler en bestemt bruker så lenge brukeren besøker. Sessions-ID kan lagres som en informasjonskapsel, et skjemafelt eller en URL.

Forklaring:

Bildekilde: http: // nikolaisammut .blogspot.com / 2012/04 / php-sessions-cookies.html

Det er tre komponenter inne i dette bildet: HT TP-klient , HTTP-server og Database (holder økt-ID).

Trinn 1: klienten sender en forespørsel til serveren via POST eller GET.

Trinn 2: økt-ID opprettet på webserveren. Server lagrer økt-ID i databasen og bruker set-cookie-funksjonen & send økt-ID til klientleseren som svar.

Step3: en informasjonskapsel med økt-ID som er lagret i klientleseren, sendes tilbake til serveren der serveren samsvarer med den fra databasen og sender et svar som HTTP 200 OK.

Session Fixation Attack

Session fixation er et nettapplikasjonsangrep der angriper kan lure et offer til å autentisere i applikasjonen ved hjelp av Session Identifier gitt av angriperen. I motsetning til økt Kapring, er det ikke avhengig av å stjele økt-ID for en allerede autentisert bruker.

I en enkel måte angriper kan sende en lenke som inneholder fast økt-id, og hvis offeret klikker på lenken, blir offerets økt-ID løst, siden angriper allerede kjenner økt-ID-en slik at han / hun enkelt kan kapre økten.

Target sit: – https://unsecured.nwebsec.com/SessionFixation

Trinn 1-> Angrepslogg på målsiden med hans legitimasjon.

Attacker session ID: –

Trinn 2-> Angrepskobling som inneholder fast økt-id- https://www.nwebsec.com/SessionSecurity/SessionFixation/SetDomainCookie?id=pzlaaw53lzbmhspousk00avb

Trinn 3 -> Attack kan sende denne lenken via e-post når offeret klikker på den gitte lenken sin økt i d blir løst.

Som du ser nå offeret som allerede klikket på lenken og omdirigert til en påloggingsside med fast økt-id

Ettersom du kan se at offeret har samme økt-ID som angriper. Da økt-ID-en for offeret og angriperen er den samme, må angriperen oppdatere siden og kan se alle hemmelighetene til offeret .

Takk for at du leser

Ta kontakt på

LinkedIn- www.linkedin.com/in / tushars25

Instagram- https://www.instagram.com/th3g3nt3lm4n/

Twitter- https://twitter.com/TH3G3NT3LM4N

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *