Asp.NET

में हैकिंग सत्र चर है क्या किसी के सत्र चर को हैक करना और नया छाया उपयोगकर्ता बनाना संभव है?Asp.NET

ऐसे surprizes से बचने के आम तरीके क्या हैं?

एसएसएल प्रमाणपत्र स्थापना या ....?

2009-06-05 OrElse

संक्षिप्त उत्तर ... यह निर्भर करता है।

एएसपी.नेट में सत्र विभिन्न तरीकों से (इनप्रोक/एसक्यूएल सर्वर/स्टेट सर्वर) आदि में संग्रहीत किया जा सकता है ... ध्यान देने योग्य एक और बात यह है कि क्लाइंट सत्र कैसे बनाए रखा जाता है (क्वेरी स्ट्रिंग मान, कुकीज़ इत्यादि। ।)

इस जवाब में पोस्टर के रूप में पता चलता है

Can we hack a site that just stores the username as a session variable?

एक बात है जब आप उपयोगकर्ता को प्रमाणित और सत्र में उनके नाम की दुकान, यह भी उनके बारे में कुछ अन्य जानकारी स्टोर करने के लिए किया जाएगा तुम कर सकते हो। जैसे उनके UserAgentString, उनके आईपी पते और यदि एक अलग आईपी या UserAgentString सत्र के साथ बातचीत करने का प्रयास किया, तो आप इसे अमान्य कर सकते हैं।

स्रोत

2009-06-05 10:15:29

एक बात: सत्र के खिलाफ आईपी संग्रह करना अच्छा है, लेकिन मूर्खतापूर्ण नहीं है, समस्या यह है कि सत्र हैकिंग का एक आम रूप एक ही आईपी समूह (यानी एक कंपनी या एओएल के भीतर) के खिलाफ है। UserAgent के लिए समान चिंताओं (केवल बहुत अधिक समानता के साथ!) – annakata

कुछ भी संभव है, हालांकि डिफ़ॉल्ट रूप से यह कठिन है।

आम तौर पर आप सत्र कुकी चोरी करके और इसे किसी अन्य मशीन पर पुनर्निर्मित करके एक सत्र को हाइजैक करते हैं। हालांकि ऐसा करने के लिए वेब साइट क्रॉस साइट स्क्रिप्टिंग के लिए कमजोर होनी चाहिए (जिसे आप सर्वर के साथ कम कर सकते हैं। HTML एन्कोड जब आप उपयोगकर्ता इनपुट को प्रतिबिंबित करते हैं)। यदि आप कमजोर हो जाते हैं तो ASP.NET सत्र कुकी को केवल HTTP के रूप में चिह्नित किया जाता है, जिसका अर्थ है कि यदि कोई ब्राउज़र इसका समर्थन करता है, तो यह क्लाइंट साइड स्क्रिप्ट से पहुंचने के लिए सुलभ नहीं है (हालांकि सफारी इस सेटिंग को अनदेखा करता है)।

स्रोत

2009-06-05 10:17:16 blowdart

उत्तर

संबंधित मुद्दे