Perché i cookie di sessione sniff devono essere disponibili anche in UN / PW?

4

Recentemente ho letto sui cookie di sessione e su come possono essere dirottati tramite attacchi man-in-middle. Sembra che questo sia principalmente possibile su una connessione non criptata tra un client e un server web.

Tuttavia, non riesco a capire perché, se uno è già 'nel mezzo' di una connessione non criptata, si preferirebbe catturare il cookie al posto del nome utente & password che dovrebbe essere inviata anche in chiaro?

    
posta Abhi 30.10.2014 - 08:48
fonte

2 risposte

8

Ci sono 2 motivi principali per cui i cookie sono più facili da rubare rispetto alle credenziali di accesso:

I cookie vengono inviati per ogni richiesta, le credenziali di accesso vengono inviate una sola volta per ogni "sessione"

Se si annusa una rete, è meno probabile che ci si trovi nel punto in cui un utente esegue effettivamente un accesso utilizzando il nome utente e la password.

I cookie d'altra parte, vengono inviati per ogni richiesta al server web. È più probabile che tu possa acquisire un cookie di sessione rispetto all'autenticazione di nome utente / password.

È difficile prevedere quali parametri GET / POST che contengono le credenziali di accesso

L'individuazione delle effettive credenziali di autenticazione sul web può essere un po 'complicata. Questo perché virtualmente ogni applicazione web ha il suo modo di farlo. È difficile anticipare tutti i vari URL di autenticazione.

Ad esempio:

GET /login?username=dogeatcatworld&password=letmein
GET /auth?u=dogeatcatworld&p=letmein
GET /auth?auth=<base64encoded credentials>

I cookie sull'altra mano, esistono sempre nell'intestazione HTTP, ed è banale estrarli dalle richieste.

    
risposta data 30.10.2014 - 09:28
fonte
3

Se il nome utente e la password sono stati inviati in chiaro, allora sì, sniffarli è un'opzione migliore.

Tuttavia, un modello comune è che il processo di login sia crittografato (per sicurezza), e quindi il resto della sessione si svolge in chiaro (poiché la crittografia impone un po 'di penalizzazione delle prestazioni). In tal caso, il nome utente e la password non possono essere acquisiti, ma il cookie di sessione, che viene passato in chiaro, può.

    
risposta data 30.10.2014 - 09:26
fonte

Leggi altre domande sui tag