7
मेरा वेब एप्लिकेशन केवल SSL पर संचालित होता है और उपयोगकर्ता नाम और पासवर्ड के साथ सफलतापूर्वक लॉगिन करने के बाद प्रत्येक उपयोगकर्ता के लिए समय सीमित कुकी सेट करता है। सिस्टम में सबसे बड़ी कमजोरियां मौजूदा उपयोगकर्ता की कुकी से समझौता कर रही हैं। और दो सत्र आईडी GUID अनुमान लगाते हैं।क्या Windows 2003 पर जेनरेट किए गए GUIDs सत्र आईडी के रूप में उपयोग करने के लिए सुरक्षित हैं?
मुझे पहली कमजोरी के लिए तंत्र के बारे में पता है, लेकिन मुझे आश्चर्य है कि मुझे एक GUID के आधार पर एक सत्र आईडी GUID अनुमान लगाने वाले हमलावर के मौके के बारे में चिंता करने की ज़रूरत है, जिसे उन्होंने पहले सेट किए गए खाते में लॉग इन करके प्राप्त किया है ऊपर? इस मामले में वेब सर्वर विंडोज 2003 है और GUID को .NET 3.5 के साथ जेनरेट किया जा रहा है।
GUID निर्माण एल्गोरिदम बदल गया है। वे अब मैक एड्रेस का उपयोग नहीं करते हैं। वे सिर्फ 128 बिट छद्म यादृच्छिक संख्या हैं। और उनके पास बहुत सी सुरक्षा समस्याएं हैं। –
न तो मैक पता .NET 3.5 guids में टाइमस्टैम्प नहीं है। –
क्या विक्रेता द्वारा वर्णित एक .NET 3.5 GUID क्रिप्टोग्राफ़िक रूप से सुरक्षित है? – ConcernedOfTunbridgeWells