Informativa sui cookie "PreviousLoggedinUser"

1

Mi chiedevo se il tipo di informazioni che un cookie è autorizzato a rivelare. Ad esempio, stavo testando un sito web e vedo in Burp che il suo cookie contiene diverse informazioni, una delle quali è l'identificatore "previousLoggedInAs" che identifica il precedente utente registrato dell'applicazione in testo semplice (solo il nome utente). Sicuramente penso che questo non dovrebbe essere successo, ma non riesco a capire come questo possa essere usato dagli aggressori e quanto sia meglio evitarlo?

Qualche idea?

    
posta rockstar 29.09.2016 - 06:31
fonte

1 risposta

2

Può essere utilizzato da un utente malintenzionato con accesso ai cookie per determinare il nome utente dell'ultima persona che ha effettuato l'accesso a tale sito utilizzando tale browser. Può anche rivelare l'altro account di una persona se ne possiede più di uno ed è stato precedentemente effettuato l'accesso utilizzando l'altro e non ha cancellato i cookie (che per essere corretti non è necessario presupponendo che si fida del sito e si aspetti di disconnettersi completamente registrali e non lasciare riferimenti ai loro account nei cookie).

Non sono sicuro del motivo per cui il server ha bisogno di tali informazioni né di come viene utilizzato, ma potrebbe esserci una vulnerabilità in cui il server si fida ciecamente del valore e consente un tipo di accesso basato su di esso. In tal caso un utente malintenzionato potrebbe impostare il cookie su qualsiasi cosa desideri e impersonare l'utente corrispondente.

Come evitarlo? Non impostare il valore in primo luogo, anche in questo caso non sono sicuro di quale scopo potrebbe servire, ma se davvero hai bisogno di un tale valore, tienilo invece nella sessione del server. Il client non sarà in grado di vedere né manomettere il valore in questo modo.

    
risposta data 29.09.2016 - 06:53
fonte

Leggi altre domande sui tag