Identificazione, analisi e previsione dei cookie di sessione deboli

8

Per approfondire questo aspetto, sto guardando questo dal punto di vista di un hacker / penetration tester. Molte volte ho visto applicazioni web che so avere dei cookie deboli. Posso dirlo perché posso inviare centinaia / migliaia di richieste di accesso e i cookie di sessione con i quali il server risponde avranno dei pattern evidenti al loro interno. Ad esempio, alcuni cookie di sessione avranno caratteri ripetuti presenti in tutti i cookie di sessione (ad esempio, i primi 6 caratteri di un cookie di sessione di 13 caratteri sono tutti uguali). Gli altri vengono generati in base al tempo, quindi se invio un gruppo di richieste di accesso tutte allo stesso tempo, il server risponderà con lo stesso cookie di sessione (supponendo che il server generi il cookie in base al secondo / minuto).

Sebbene questi tipi di pattern siano facilmente evidenti, so che alcuni modelli non sono così facili da vedere per noi umani.

Quindi le mie due domande:

1) Quali metodi e strumenti sono disponibili per determinare la forza di un cookie?

2) Una volta identificato un cookie di sessione debole, come procedere per analizzare e decodificare l'algoritmo di generazione dei cookie di sessione? (Tieni presente che l'obiettivo finale qui è quello di essere in grado di prevedere i cookie di sessione)

    
posta tifkin 27.10.2012 - 04:16
fonte

1 risposta

4

Burp ha uno strumento per l'analisi degli ID di sessione , ma io 'onestamente, la sua uscita non ha senso e come tester di penetrazione, questa funzione non ha mai portato a una scoperta ...

Se controllo un gestore di sessioni, guarderò il suo codice sorgente e lo giudicherò dalla fonte di entropia che sta usando.

In una valutazione di blabkbox se l'ID di sessione non cambia quando si esegue l'autenticazione più volte, l'applicazione potrebbe utilizzare l'hash della password come ID di sessione. Lo sviluppatore che ha scritto questa spazzatura dovrebbe essere licenziato, non ci sono scuse per questo grado di incompetenza. (Wordpress, ti sto guardando)

    
risposta data 27.10.2012 - 04:53
fonte

Leggi altre domande sui tag