में हैकिंग सत्र चर है क्या किसी के सत्र चर को हैक करना और नया छाया उपयोगकर्ता बनाना संभव है?Asp.NET
ऐसे surprizes से बचने के आम तरीके क्या हैं?
एसएसएल प्रमाणपत्र स्थापना या ....?
में हैकिंग सत्र चर है क्या किसी के सत्र चर को हैक करना और नया छाया उपयोगकर्ता बनाना संभव है?Asp.NET
ऐसे surprizes से बचने के आम तरीके क्या हैं?
एसएसएल प्रमाणपत्र स्थापना या ....?
संक्षिप्त उत्तर ... यह निर्भर करता है।
एएसपी.नेट में सत्र विभिन्न तरीकों से (इनप्रोक/एसक्यूएल सर्वर/स्टेट सर्वर) आदि में संग्रहीत किया जा सकता है ... ध्यान देने योग्य एक और बात यह है कि क्लाइंट सत्र कैसे बनाए रखा जाता है (क्वेरी स्ट्रिंग मान, कुकीज़ इत्यादि। ।)
इस जवाब में पोस्टर के रूप में पता चलता है
Can we hack a site that just stores the username as a session variable?
एक बात है जब आप उपयोगकर्ता को प्रमाणित और सत्र में उनके नाम की दुकान, यह भी उनके बारे में कुछ अन्य जानकारी स्टोर करने के लिए किया जाएगा तुम कर सकते हो। जैसे उनके UserAgentString, उनके आईपी पते और यदि एक अलग आईपी या UserAgentString सत्र के साथ बातचीत करने का प्रयास किया, तो आप इसे अमान्य कर सकते हैं।
कुछ भी संभव है, हालांकि डिफ़ॉल्ट रूप से यह कठिन है।
आम तौर पर आप सत्र कुकी चोरी करके और इसे किसी अन्य मशीन पर पुनर्निर्मित करके एक सत्र को हाइजैक करते हैं। हालांकि ऐसा करने के लिए वेब साइट क्रॉस साइट स्क्रिप्टिंग के लिए कमजोर होनी चाहिए (जिसे आप सर्वर के साथ कम कर सकते हैं। HTML एन्कोड जब आप उपयोगकर्ता इनपुट को प्रतिबिंबित करते हैं)। यदि आप कमजोर हो जाते हैं तो ASP.NET सत्र कुकी को केवल HTTP के रूप में चिह्नित किया जाता है, जिसका अर्थ है कि यदि कोई ब्राउज़र इसका समर्थन करता है, तो यह क्लाइंट साइड स्क्रिप्ट से पहुंचने के लिए सुलभ नहीं है (हालांकि सफारी इस सेटिंग को अनदेखा करता है)।
एक बात: सत्र के खिलाफ आईपी संग्रह करना अच्छा है, लेकिन मूर्खतापूर्ण नहीं है, समस्या यह है कि सत्र हैकिंग का एक आम रूप एक ही आईपी समूह (यानी एक कंपनी या एओएल के भीतर) के खिलाफ है। UserAgent के लिए समान चिंताओं (केवल बहुत अधिक समानता के साथ!) – annakata