Domande con tag 'session-management'

domande con tag
1
risposta

Definizione del timeout di inattività

Devo eseguire il timer di timeout di inattività della sessione Dal start della prima richiesta all'inizio della prossima richiesta o Dalla fine della prima richiesta all'inizio della prossima richiesta? Un po 'di contesto - Ho un ti...
posta 27.11.2017 - 02:51
1
risposta

È possibile riaprire una sessione meterpreter? [chiuso]

Ho provato a hackerare più telefoni Android usando i file .apk ma ogni volta che la sessione dura 5-10 secondi: [*] 94.243.71.172 - Meterpreter session 1 closed. Reason: Died Quindi, per aprire una nuova sessione ho bisogno di disinstal...
posta 20.04.2017 - 23:39
1
risposta

Differenza di sicurezza tra i token Web e la firma dei messaggi

Vedo ampiamente utilizzati due diversi tipi di autenticazione, di cui uno molto più complesso dell'altro. Uno è i token ID sessione semplici utilizzati nella maggior parte dei siti Web (l'utente invia le informazioni di accesso, riceve un token...
posta 24.10.2017 - 17:59
1
risposta

C'è qualche vantaggio nel continuare a inviare UN / PW al server su ID sessione (cioè, Stateless vs Stateful)

Stavo leggendo questa domanda sulla Sessione ID Hijacking e ha dato molte risposte sul furto degli ID di sessione. Ci ho pensato per un po ', ma c'è un vantaggio nell'usare gli ID di sessione per la riconnessione con una combinazione UN / P...
posta 25.10.2016 - 20:06
1
risposta

Utente impersonato che utilizza JSessionID per l'individuazione della sessione o il dirottamento di sessione

È considerato JSessionID per il sovraccarico della variabile di sessione (noto anche come Session Puzzling)? Un'applicazione web java è distribuita in HTTPS Un utente amministratore accede all'applicazione. Dopo l'accesso, viene emesso un...
posta 20.07.2017 - 14:44
2
risposte

qual è il problema di sicurezza se il timeout della sessione è il valore predefinito dalla configurazione del server?

In un'applicazione web il timeout della sessione non è definito né nell'applicazione né nella configurazione dell'applicazione. Ma il timeout predefinito è preso da IIS. qual è il problema di sicurezza se il timeout della sessione è il valore pr...
posta 19.01.2017 - 18:18
4
risposte

Che cosa ha bisogno l'hacker per rubare dal mio PC per compromettere la mia sessione di Facebook?

Voglio dire, quando spunta il pulsante "ricordati di me / questo computer", non devo effettuare nuovamente il login su questa macchina. Quindi immagino sia a causa dei cookie. Quindi, se qualcuno dovesse entrare nel mio PC, potrebbe rubare alcun...
posta 24.08.2016 - 02:21
2
risposte

Rischi per la sicurezza su una data infrastruttura di sessione

Voglio sapere se questo è uno schema adatto per la gestione delle sessioni. Una volta che l'utente si è autenticato con user / pass, il server restituisce session = MD5(SECRET + user_id) (insieme ad altri campi) dove SECRET è una strin...
posta 14.08.2016 - 12:16
1
risposta

Memorizza la chiave di crittografia in $ _SESSION contro $ _COOKIE?

Leggendo il tutorial qui: link (scenario # 2) Si consiglia di memorizzare la chiave di crittografia in una variabile di sessione. Mi stavo chiedendo, è più sicuro memorizzare la chiave in una variabile cookie invece? La mia ipotesi:...
posta 10.09.2016 - 22:29
3
risposte

Form Web di Asp.net non genera un nuovo ID di sessione se un utente si disconnette e si collega di nuovo

I moduli web di Asp.net non generano un nuovo ID di sessione se un utente si disconnette e si riavvia. È questo un grave rischio per la sicurezza? Stiamo utilizzando SSL.     
posta 05.05.2016 - 18:01