Nybörjarguide för att förstå cookies och sessionshantering

(Tushar Verma ) (3 aug 2020)

Vad är en cookie ???

Cookies är vanligtvis små textfiler, givet ID-taggar som lagras på din dators webbläsarkatalog eller undermappar för programdata. Cookies skapas när du använder din webbläsare för att besöka en webbplats som använder cookies för att hålla reda på dina rörelser på webbplatsen, hjälpa dig att återuppta var du slutade, kom ihåg din registrerade inloggning, temaval, preferenser, och andra anpassningsfunktioner. Webbplatsen lagrar en motsvarande fil (med samma ID-tagg) till den de har ställt in i din webbläsare och i den här filen kan de spåra och behålla information om dina rörelser på webbplatsen och all information som du frivilligt har gett när du besöker webbplatsen, till exempel e-postadress.

Till exempel när du besöker Amazon.in och sök efter Samsung-mobiltelefoner, detta noteras i din webbhistorik, nästa gång du öppnar Amazon.in i din webbläsare, läser kakorna din webbhistorik och du kommer att visas Samsung mobiltelefoner på din Amazon-hemsida.

Vilka kakor gör ???

Säkra webbplatser använder kakor för att validera en användares identitet när de surfar från sida till sida; utan cookies måste inloggningsuppgifterna anges mellan varje produkt som läggs till i kundvagnen eller önskelista.Cookies aktiverar och förbättrar:

1- Kundinloggning
2- Persistenta kundvagnar
3-Önskelistor
4-Produktrekommendationer
5-Anpassad användare gränssnitt
6-behålla kundadress och betalningsinformation

Det finns fem typer av kakor: –

1- Sessionscookies-Sessionscookies skapas tillfälligt i din webbläsares undermapp medan du besöker en webbplats. När du lämnar webbplatsen tas sessionskakan bort.

2- Ihållande kakor – Ihållande kakifiler finns kvar i din webbläsares undermapp och aktiveras igen när du besöker webbplatsen som skapade just den kakan. förblir i webbläsarens undermapp under den tidsperiod som anges i cookiens fil.

3-tredjepartscookies-En cookie som ställts in av ett domännamn som inte är domännamnet som visas i webbläsarens adressfält dessa cookies används huvudsakligen för att spåra användarens webbmönster och / eller hitta reklamrekommendationerna för användaren.

4-Secure Cookie-En säker cookie kan bara överföras via en krypterad anslutning. En cookie görs säker genom att lägga till den säkra flaggan till kakan. Webbläsare som stöder den säkra flaggan skickar bara cookies med den säkra flaggan när begäran går till en HTTPS-sida.

Endast 5-HTTP-cookie-Den informerar webbläsaren om att den här specifika cookien endast ska nås av servern. Alla försök att komma åt kakan från klientskriptet är strängt förbjudet. Detta är viktigt säkerhetsskydd för sessionskakor.

Skapa cookie: –

setcookie () -funktionen används för cookien som ska skickas tillsammans med resten av HTTP-rubrikerna. När en utvecklare skapar en cookie med funktionen setcookie , han måste ange minst tre argument. Dessa argument är setcookie ( namn , värde , utgång )

Cookie Attribut: –

  1. Namn: Anger kakans namn.
  2. Värde: Anger kakans värde.
  3. Säker: anger om cookien endast ska överföras via en säker HTTPS-anslutning. TRUE indikerar att cookien ställs bara in om det finns en säker anslutning. Standard är FALSK.
  4. Domän: anger cookiens domännamn. För att göra cookien tillgänglig på alla underdomäner på example.com, ställ in domänen till “xyz.com”. Om du ställer in den på www.xyz.com blir kakan endast tillgänglig i www-underdomänen.
  5. Sökväg: anger cookiens serverväg. Om den är inställd på “/” kommer cookien att finnas tillgänglig inom hela domänen.Om den är inställd på “/ php /” kommer cookien endast att finnas tillgänglig i php-katalogen och alla underkataloger till php. Standardvärdet är den aktuella katalogen som cookien sätts i.
  6. HTTP Endast: om den är satt till SANT kommer cookien endast att vara tillgänglig via HTTP-protokollet. Denna inställning kan hjälpa till att minska identitetsstöld genom XSS attacker.Default är FALSK.

Sessions-ID

Ett session-ID är ett unikt nummer som en webbplats server tilldelar en specifik användare under användarens besökstid. Sessions-ID kan lagras som en cookie, ett formulärfält eller en URL.

Förklaring:

Bildkälla: http: // nikolaisammut .blogspot.com / 2012/04 / php-sessions-cookies.html

Det finns tre komponenter i bilden: HT TP-klient , HTTP-server och Databas (innehar session-ID).

Steg 1: klienten skickar en begäran till servern via POST eller GET.

Steg 2: session Id skapad på webbservern. Servern sparar session-ID i databasen och använder set-cookie-funktionen & skicka session-ID till klientens webbläsare som svar.

Steg3: en cookie med session-ID lagrad i klientens webbläsare skickas tillbaka till servern där servern matchar den från databasen och skickar ett svar som HTTP 200 OK.

Session Fixation Attack

Session fixation är en webbapplikationsattack där angriparen kan lura ett offer att autentisera i applikationen med Session Identifier som tillhandahålls av angriparen. Till skillnad från Session Kapning förlitar sig inte på att stjäla sessions-ID för en redan autentiserad användare.

I ett enkelt sätt angripare kan skicka en länk som innehåller fast session-id och om offret klickar på länken kommer offrets session-ID att fixas, eftersom angriparen redan känner till session-id så att han / hon enkelt kan kapa sessionen.

Målsit: – https://unsecured.nwebsec.com/SessionFixation

Steg 1-> Attacklogg på målwebbplatsen med hans referenser.

Attackerns session-ID: –

Steg 2-> Attackerns länk som innehåller fast session id- https://www.nwebsec.com/SessionSecurity/SessionFixation/SetDomainCookie?id=pzlaaw53lzbmhspousk00avb

Steg 3 -> Attack kan skicka den här länken via e-post när offret klickar på den givna länken hans session i d kommer att fixas.

Som du kan se nu offer som redan klickat på länken och omdirigerats till en inloggningssida med fast session-id

Eftersom du kan se att offret har samma session-ID som angriparen. Eftersom session-ID för offer och angripare är detsamma, måste angriparen uppdatera sin sida och kan se alla hemligheter för offret .

Tack för att du läste

Kontakta oss på

LinkedIn- www.linkedin.com/in / tushars25

Instagram- https://www.instagram.com/th3g3nt3lm4n/

Twitter- https://twitter.com/TH3G3NT3LM4N

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *