Domande con tag 'session-fixation'

domande con tag
2
risposte

Inserimento dell'indirizzo IP nel token Web JSON o nel cookie di sessione

Sono relativamente nuovo alla sicurezza e sto cercando di impedire gli accessi brute force a un'applicazione Web che sto creando. Dopo aver fatto qualche ricerca, ho deciso di andare a richiedere un captcha dopo che un utente ha tentato tropp...
posta 02.06.2017 - 20:44
1
risposta

Come proteggere l'ID sessione?

Ho letto alcuni degli ultimi giorni sugli ID delle sessioni e sui metodi adottati per impedire alle persone di intercettarli e utilizzarli per dirottare una sessione. Da quanto ho letto, quando si invia l'ID sessione in un cookie al browser S...
posta 15.06.2016 - 09:54
1
risposta

Correzione della sessione - È presente anche un problema qui?

Qualcuno mi ha contattato per non aver assegnato un nuovo ID di sessione al login di successo. Fondamentalmente mi è stato detto: il fatto che io usi lo stesso cookie (con lo stesso SID) nella pagina di accesso e la sessione autorizzata riman...
posta 16.03.2015 - 15:44
2
risposte

Correzione della sessione tramite XSS

Quali sono i presupposti per l'esecuzione di un attacco di fissazione della sessione usando XSS? vale a dire, in cui parametro deve essere iniettato lo script in modo che imposti il cookie nel browser. Condizioni di conoscenza: accesso p...
posta 15.03.2017 - 11:34
1
risposta

ripristino sessione sessione gmail interrotta nell'esecuzione dell'istanza del browser chromium?

La mia situazione è: + Ho creato un account gmail per scopi speciali + Ho usato una password complicata per proteggere l'account. Di proposito, non ho usato alcuna opzione 2FA: un indirizzo email "reset" o un numero di telefono + Ho acc...
posta 09.11.2018 - 10:41
1
risposta

C'è qualche vantaggio nel continuare a inviare UN / PW al server su ID sessione (cioè, Stateless vs Stateful)

Stavo leggendo questa domanda sulla Sessione ID Hijacking e ha dato molte risposte sul furto degli ID di sessione. Ci ho pensato per un po ', ma c'è un vantaggio nell'usare gli ID di sessione per la riconnessione con una combinazione UN / P...
posta 25.10.2016 - 20:06
2
risposte

Forza ID sessione ASP.NET

Dopo aver letto questo e questo , mi chiedo se sia considerato sicuro utilizzare l'ID di sessione ASP.NET predefinito come un mezzo per autenticare l'utente. So che sarebbe meglio implementare ASP.Identity, che ha un cookie 'fedAuth' molto più...
posta 29.06.2015 - 14:43
3
risposte

Correzione della sessione - Impostazione del percorso per root senza /

Ho trovato una vulnerabilità XSS nel sottodominio di un sito che sto testando e, utilizzandolo, posso impostare i cookie sia per il sito principale che per tutti i suoi sottodomini. Il mio url al momento è simile a questo: http://s1.example...
posta 06.08.2014 - 22:57
0
risposte

Rotazione dei nomi di sessione rispetto a un nome di sessione statico con una stringa di convalida in rotazione

Sto costruendo la mia libreria di gestione delle sessioni nel linguaggio di programmazione Go e ho avuto un'idea interessante per risparmiare memoria. Ho creato qualcosa chiamato sovrintendente che cerca le sessioni scadute e abbandonate e le ca...
posta 31.10.2018 - 02:08
1
risposta

problema di sessione HTTP non sicuro

Un'applicazione java supporta due ruoli utente. Admin e nonAdmin. Accedi come amministratore, il browser ottiene l'ID JSESSION. Accedi come utente non Admin da un'altra macchina. Il browser ottiene un altro ID JSESSION. Ora modifica questo...
posta 24.09.2016 - 20:01