Domande con tag 'session-fixation'

domande con tag
2
risposte

Test della correzione della sessione quando il cookie non è cambiato

Stavo testando un'applicazione web in cui i cookie (ID di sessione, valori di sessione) sono gli stessi per tutte le volte. Anche dopo il successo dell'autenticazione, rimane invariato. L'ID di sessione viaggia sotto forma di un cookie HTTP....
posta 28.02.2017 - 09:57
2
risposte

Gestione sessione: imposta il nuovo valore dell'ID sessione dopo la modifica dei privilegi e altre operazioni sensibili

Questo articolo OWASP sulla gestione delle sessioni consiglia di impostare un nuovo valore di ID di sessione quando: Common scenarios must also be considered, such as password changes, permission changes or switching from a regular user...
posta 23.10.2016 - 20:55
1
risposta

SESSION è sicuro per il trasferimento di e-mail e password crittografate in PHP

Sto lavorando a un progetto in cui sto utilizzando PHP_SESSION, da qualche parte ho sentito che PHP_SESSION non è sicuro per il passaggio di dati preziosi, quindi devo sapere quali sono i difetti di sicurezza, come possono essere violati e come...
posta 01.06.2015 - 09:48
1
risposta

C'è un modo per sapere che un cookie è "Solo HTTP" sulla prima richiesta utente?

Mentre stavo leggendo la sessione articolo di riparazione su OWASP , stavo pensando che l'unico modo per il mio server rifiutare un cookie impostato da uno script canaglia sarebbe per il mio server sapere che il browser ha inviato una richiesta...
posta 05.08.2018 - 02:40
4
risposte

Attacco di fissazione della sessione, sessioni basate su cookie su https

Un consulente di sicurezza di terze parti ha eseguito un test di penetrazione su alcune delle nostre applicazioni web. Uno dei risultati era una potenziale vulnerabilità alla fissazione della sessione. Abbiamo diverse applicazioni web tutte J...
posta 27.06.2017 - 12:10
1
risposta

La risoluzione di sessione è difficile da risolvere?

Trovato vulnerabilità di fissazione della sessione in un paio di giganti della tecnologia. Dando i passi che ho fatto: 1. Accedi al tuo account in un browser (Browser 1).   2. Estrai cookie utilizzando l'estrattore di cookie.   3. Importa...
posta 16.03.2017 - 05:49
1
risposta

hash di sessione, hai bisogno di aiuto per sapere come funziona?

c'è un sito web che visito e non riesco a comprendere appieno il processo di accesso e l'hash della sessione che crea e utilizza per tenere traccia degli accessi e simili. qualcuno potrebbe aiutarmi a capire cosa succede nel server e cosa su...
posta 02.01.2017 - 12:46
1
risposta

Prevenire la fissazione della sessione: MAC o Hash?

Questo post del blog descrive un metodo per prevenire attacchi di fissazione della sessione (in ASP.Net in particolare). L'idea è che l'id della sessione dovrebbe essere legato all'identità dell'utente in modo verificabile, il che significa ch...
posta 03.02.2015 - 18:58
0
risposte

Gestione sessione per evitare la fissazione della sessione

Come faccio a mantenere lo stesso stato di sessione con ID di sessione diversi quando riceviamo una richiesta di accesso? Devo fare qualcos'altro dal lato server diverso dall'assegnare l'ID di sessione in Response.cookies a una stringa vuota? pe...
posta 13.12.2018 - 10:25
0
risposte

Correzione della sessione in ASP.NET

Sto testando l'applicazione ASP.NET, dove l'ID di sessione (ASP.NET_SessionId) non viene rinnovato dopo l'accesso. In realtà si rinnova quando utilizzo il browser, sul server della pagina di accesso invia: Set-Cookie: ASP.NET_SessionId=; expir...
posta 25.06.2018 - 18:25