Domande con tag 'session-fixation'

domande con tag
1
risposta

Mi sono registrato come un altro utente in un sito, come?

È successo l'anno scorso, ma mi chiedo ancora oggi. Stavo cercando i coupon per il sito Alltrails. Avevo un account gratuito e volevo avere un account Pro. Ho aperto casualmente molti risultati di ricerca, ma non sono riuscito a trovare un coupo...
posta 12.03.2018 - 21:21
1
risposta

Fixazione della sessione OpenID con CSRF

Questa risposta descrive una situazione in cui CSRF può essere utilizzato per ingannare un utente finale per inserire una carta di credito nell'account Paypal di un'altra persona. Evidenzia anche il fatto che le richieste GET che cambiano lo s...
posta 08.11.2011 - 17:50
2
risposte

Confrontando Session Hijacking, Fixation and Riding

Come faccio a distinguere tra questi Session Hijacking / Session Fixation / Session Riding. Trovo difficile da capire se letto su tutti e tre allo stesso tempo. Divento molto confuso quando paragono Hijacking con Fixation perché c'è una sorta di...
posta 03.10.2016 - 22:09
2
risposte

Fissazione sessione HTTP

Secondo wikipedia , Mallory l'aggressore ottiene il proprio SID e quindi costringe Alice a visitare un sito con il SID. Perché Mallory non avrebbe preso il SID di Alice, se fosse riuscita a MITM Mallory? Inoltre, questo attacco senza MITM è sus...
posta 20.07.2016 - 20:48
2
risposte

Come evitare la fissazione della sessione (Login CSRF) con MitM attack senza HSTS?

Sto scrivendo un'app Web che già utilizza connessioni crittografate TLS (HTTPS), cookie di sessione Secure; HttpOnly , token CSRF HMAC-SHA1, richiede un'intestazione Referer corretta per evitare Login CSRF e cambia ID di sessione durant...
posta 03.09.2014 - 10:36
2
risposte

Sfruttare una potenziale vulnerabilità di Session Fixation dell'app Web ASP.NET

Sto testando con la penna un'applicazione ASP.NET che presenta il comportamento Correzione della sessione . L'applicazione utilizza sessioni basate su cookie . In sostanza: Quando atterri sulla pagina non viene creato alcun cookie di sessi...
posta 26.02.2015 - 10:13
2
risposte

Le sessioni possono essere gestite in modo sicuro con i cookie disabilitati?

Ho letto alcune letture sulla gestione degli ID di sessione e ho appreso che generalmente è una cattiva idea includere un ID di sessione nel codice sorgente HTML e / o nella stringa di query. Ad esempio È corretto utilizzare il modulo campo (na...
posta 30.01.2014 - 19:16
1
risposta

Javascript http to https redirect - quanto vulnerabili / quanto sicuri? [duplicare]

Se avessi un sito web link reindirizzato a link tramite javascript (con un HTTP/1.1 403 Forbidden ), quali sono i vettori di attacco che potrei essere anche vulnerabile? Perché questa non è una buona pratica? (e il modo preferito è...
posta 08.01.2014 - 18:05
2
risposte

Gestione della sessione: le funzionalità del server delle applicazioni sono sufficienti?

HTTP è un protocollo stateless. Tuttavia, quando l'utente accede a un'applicazione Web, gli piace che alcune informazioni sulla sessione vengano conservate, in modo che non debba effettuare nuovamente il login quando vuole andare avanti e indiet...
posta 25.07.2012 - 14:56
1
risposta

Misura preventiva per il rilevamento di attacchi di Session Fixation

Dalla mia comprensione se non sbaglio in attacchi di fissazione della sessione. L'utente malintenzionato accede al server come utente legittimo e crea una sessione valida. Quindi, inganna l'utente compromesso per utilizzare la sua sessione che è...
posta 16.06.2013 - 12:31