In che modo l'attaccante può accedere all'account della vittima senza conoscerne le credenziali?

2

Voglio accedere a Facebook da una connessione Wi-Fi e controllare che la pagina di accesso sia su https, ma più tardi quando non presta attenzione alla barra degli indirizzi (ad esempio quando giochi e fai clic su link come un matto velocemente) può attaccante di man-in-the-middle-attack mandami una pagina facebook in http e vedi il mio cookie quindi usare quel cookie per usare il mio account?

    
posta pier 19.10.2012 - 19:37
fonte

2 risposte

4

Non parlando specificamente per Facebook, ma in qualsiasi server Web configurato in modo decente, i cookie inviati su HTTPS sono contrassegnati come "protetti" e il browser non li invierà al server se non utilizza HTTPS (dal punto di vista del browser, se il nome è lo stesso ma non il protocollo, allora non è lo stesso server).

Ovviamente, un utente che fa clic follemente senza prestare attenzione ... questa è la radice di tutte le vulnerabilità.

    
risposta data 19.10.2012 - 19:47
fonte
1

No, questo non è possibile perché Facebook utilizza HTTPS per tutto. Puoi MITM Security.StackExchange.com e StackoverFlow.com e non interessa a nessuno .

Oltre a una violazione di OWASP a9 , ci sono molte altre vulnerabilità che ti permettono di accedere al conto di una vittima. XSS, CSRF, Riferimento agli oggetti diretti non sicuri, SQL Injection ... L'elenco continua.

    
risposta data 19.10.2012 - 19:46
fonte

Leggi altre domande sui tag