Domande con tag 'session-fixation'

domande con tag
3
risposte

previene il dirottamento di sessione in PHP

Ho scritto gli script di accesso / disconnessione della mia pagina Web e quando l'utente accede memorizzo nella variabile $_SESSION l'agente utente. Ora ogni volta che una pagina viene caricata, controllo se l'utente è connesso o meno e se...
posta 14.12.2014 - 11:02
3
risposte

Attacco alla fissazione della sessione

Date le seguenti condizioni, L'ID sessione non cambia all'accesso L'ID sessione viaggia in forma di cookie HTTP Non esiste una vulnerabilità di cross-site scripting / reindirizzamento nella pagina di accesso è ancora possibile eseguir...
posta 08.05.2012 - 06:13
1
risposta

Come impedire che la fissazione della sessione MITM attacchi su un semplice HTTP alla prima richiesta?

I siti web hanno vari metodi implementati per dire al browser di usare sempre HTTPS - intestazione HSTS, redirec server su HTTPS, politica CSP. Tuttavia, la prima volta che un utente visita il sito può essere su HTTP palin. Solo dopo che il brow...
posta 12.03.2018 - 22:09
1
risposta

Fissazione della sessione in Java

Durante lo sviluppo di un'applicazione jsp / servlet vulnerabile, ho tentato di introdurre la vulnerabilità della fissazione della sessione. In riferimento alla documentazione sono arrivato con il seguente codice che, se usato nel servlet p...
posta 11.11.2014 - 12:58
3
risposte

Controllo della stringa dell'agente del browser per la sicurezza dell'applicazione

Recentemente ho trovato alcuni registri nella mia applicazione in cui ho visto cambiare le informazioni sull'agente del browser dell'utente. Anche se l'utente utilizza lo stesso browser, le informazioni sull'agente sono state modificate per rich...
posta 13.12.2016 - 11:57
1
risposta

Rinnovamento della sessione quanto spesso è necessario?

Ricerco di nuovo la gestione delle sessioni di un sito e al momento si rinnova l'ID della sessione client su ogni aggiornamento della pagina. L'idea è che se viene rubato direttamente dal browser ci sono meno possibilità che la sessione venga di...
posta 21.03.2017 - 20:36
1
risposta

Hashing dell'identificazione della sessione - Come renderlo più sicuro e robusto

Ho scritto una classe PHP che gestisce Session e li memorizza in DB invece dei normali File nel server, lo puoi trovare su My Session Handler Class In quel post un utente per nome @AnotherGuy ha sollevato alcuni problemi / problemi di sicur...
posta 12.08.2015 - 07:15
1
risposta

Chiarimento su come funzionano gli attacchi di fissazione della sessione

A partire da OWASP Sto imparando come funzionano gli attacchi di fissazione delle sessioni. Questo è lo scenario: l'autore dell'attacco ha l'ID di sessione generato dal server (accedendo per esempio) e invia un collegamento ipertestuale con...
posta 31.01.2018 - 15:04
2
risposte

Sto comprendendo correttamente come interrompere un determinato attacco di fissazione della sessione OAuth2?

Trovate qui descritto un attacco di fissazione della sessione OAuth2. L'attacco è possibile? E sto comprendendo correttamente come può essere fermato? L'attacco Mallory inizia ad accedere a client.example.com tramite un determinato pr...
posta 26.07.2014 - 17:41
2
risposte

Consegna del cookie per la correzione della sessione

Ho trovato una possibilità per la fissazione della sessione in un'applicazione che sto cercando. È una correzione di sessione attraverso un cookie ID di sessione. Ora ho letto sulla sessione di fissazione e il concetto è chiaro e si riduce a far...
posta 21.03.2017 - 14:24