पिछली रात एक ग्राहक को बुलाया जाता था, क्योंकि Google ने निजी कर्मचारी की जानकारी के संस्करणों को कैश किया था। जानकारी तब तक उपलब्ध नहीं है जब तक कि आप लॉगिन न करें।हानिरहित क्रॉलर वेबफॉर्म प्रमाणीकरण को कैसे बाईपास करता है, और उपयोगकर्ता के सत्र को हाइजैक करता है?
वे अपने डोमेन के लिए एक गूगल खोज, उदा .:
site:example.com
किया था और पाया है कि Googled क्रॉल था, और कैश की गई, कुछ आंतरिक पृष्ठों।
अपने आप पृष्ठों के संचित संस्करण को देखते हुए:
यह https://example.com/(F(NSvQJ0SS3gYRJB4UUcDa1z7JWp7Qy7Kb76XGu8riAA1idys-nfR1mid8Qw7sZH0DYcL64GGiB6FK_TLBy3yr0KnARauyjjDL3Wdf1QcS-ivVwWrq-htW_qIeViQlz6CHtm0faD8qVOmAzdArbgngDfMMSg_N4u45UysZxTnL3d6mCX7pe2Ezj0F21g4w9VP57ZlXQ_6Rf-HhK8kMBxEdtlrEm2gBwBhOCcf_f71GdkI1))/ViewTransaction.aspx?transactionNumber=12345 का Google का संचय है। यह पृष्ठ का एक स्नैपशॉट है जैसा कि यह 15 सितंबर 2013 को दिखाई दिया था 00:07:22 जीएमटी
मुझे लंबे यूआरएल द्वारा भ्रमित किया गया था। के बजाय:
https://example.com/[...snip...]/ViewTransaction.aspx?transactionNumber=12345
यह याद रखना मुझे कुछ मिनट लग गए: ASP.net के "कुकी-कम सत्र का लक्षण हो सकता है कि
https://example.com/ViewTransaction.aspx?transactionNumber=12345
वहाँ एक लंबी स्ट्रिंग डाला था "। यदि आपका ब्राउज़र सेट-कुकी का समर्थन नहीं करता है, तो वेब साइट URL में एक कुकी एम्बेड करेगी।
हमारी साइट इसका उपयोग नहीं करती है।
और अगर हमारी साइट किया कुकी-कम सत्र स्वतः पता लगाए गए है, और गूगल यूआरएल में यह एक सत्र सौंपने में वेब सर्वर फुसलाना करने में कामयाब रहे, यह कैसे किसी अन्य उपयोगकर्ता के सत्र में ले गए थे?
हाँ,
गूगल
एक गैर दुर्भावनापूर्ण बॉट एक सत्र
साइट वर्षों के लिए बॉट द्वारा क्रॉल कर दिया गया है अपहरण कर लिया। और यह पिछले 2 9 मई कोई अलग नहीं था।
Google आमतौर पर robots.txt
फ़ाइल (हमारे पास एक नहीं है) की जांच करके इसकी क्रॉल शुरू करता है। लेकिन कोई भी पहले प्रमाणीकृत जा रहा है बिना (robots.txt
सहित) साइट पर तैयार कुछ भी करने के लिए अनुमति दी है, तो यह विफल रहता है:
Time Uri Port User Name Status
======== ======================= ==== ================ ======
1:33:04 GET /robots.txt 80 302 ;not authenticated, see /Account/Login.aspx
1:33:04 GET /Account/Login.aspx 80 302 ;use https plesae
1:33:04 GET /Account/Login.aspx 443 200 ;go ahead, try to login
सभी उस समय गूगल के लिए robots.txt फ़ाइल के लिए देख रहा था। यह कभी नहीं मिला।
Time Uri Port User Name Status
======== ======================= ==== ================ ======
1:33:04 GET/ 80 302 ;not authenticated, see /Account/Login.aspx
1:33:04 GET /Account/Login.aspx 80 302 ;use https plesae
1:33:04 GET /Account/Login.aspx 443 200 ;go ahead, try to login
और सुरक्षित साइट पर robots.txt की दोबारा जांच:
Time Uri Port User Name Status
======== ======================= ==== ================ ======
1:33:04 GET /robots.txt 443 302 ;not authenticated, see /Account/Login.aspx
1:33:04 GET /Account/Login.aspx 443 200 ;go ahead, try to login
और फिर प्रवेश पृष्ठ पर स्टाइलशीट:
Time Uri Port User Name Status
======== ======================= ==== ================ ======
1:33:04 GET /Styles/Site.css 443 200
तो यह मूल को क्रॉल करने की कोशिश करने के लिए रिटर्न
और इस तरह GoogleBot, msnbot, और BingBot से प्रत्येक क्रॉल काम करता है। रोबोट, लॉगिन, सुरक्षित, लॉगिन। कभी भी नहीं मिल रहा है, क्योंकि यह पिछले वेबफॉर्म प्रमाणीकरण नहीं मिल सकता है।और सब दुनिया के साथ अच्छा है।
एक दिन तक; कहीं भी
एक दिन तक, GoogleBot एक सत्र कुकी हाथ में के साथ दिखाई देता है!
Time Uri Port User Name Status
======== ========================= ==== =================== ======
1:49:21 GET/ 443 [email protected] 200 ;they showed up logged in!
1:57:35 GET /ControlPanel.aspx 443 [email protected] 200 ;now they're crawling that user's stuff!
1:57:35 GET /Defautl.aspx 443 [email protected] 200 ;back to the homepage
2:07:21 GET /ViewTransaction.aspx 443 [email protected] 200 ;and here comes the private information
उपयोगकर्ता, [email protected]
एक दिन में लॉग इन नहीं किया गया था। (मैं उम्मीद कर रहा था कि आईआईएस ने एक साथ दो विज़िटर्स को एक ही सत्र पहचानकर्ता को एक आवेदन रीसायकल से अलग किया था)। और हमारी साइट (web.config
) सत्र-रहित कुकीज़ सक्षम करने के लिए कॉन्फ़िगर नहीं है। और सर्वर (machine.config
) सत्र-रहित कुकीज़ सक्षम करने के लिए कॉन्फ़िगर नहीं किया गया है।
तो:
- कैसे गूगल एक sessionless कुकी के ahold मिला?
- Google को वैध सत्र रहित कुकी का अधिकार कैसे प्राप्त हुआ?
- Google को मान्य किसी अन्य उपयोगकर्ता से संबंधित सत्र रहित कुकी का अधिकार कैसे प्राप्त हुआ?
के रूप में हाल में 1 अक्टूबर (4 दिन पहले) के रूप में, GoogleBot अभी भी, दिखा, हाथ में कुकी इस उपयोगकर्ता के रूप में लॉग इन करने, रेंगने, कैशिंग, और प्रकाशन, उनके निजी विवरण में से कुछ था।
कैसे
गूगल
एक गैर दुर्भावनापूर्ण वेब क्रॉलर को दरकिनार WebForms प्रमाणीकरण है?
आईआईएस 7, विंडोज सर्वर 2008 आर 2, एकल सर्वर।
सिद्धांतों
सर्वर कुकी-सत्र बाहर देने के लिए कॉन्फ़िगर नहीं है। लेकिन उस तथ्य को अनदेखा करते हुए, Google प्रमाणीकरण को कैसे बाईपास कर सकता है?
- GoogleBot वेब साइट पर जाकर है, और यादृच्छिक उपयोगकर्ता नाम और पासवर्ड प्रयास कर
- Googlebot URL स्ट्रिंग में एक यादृच्छिक कुकी-सत्र सम्मिलित करने का निर्णय लिया (संभावना नहीं, लॉग के लिए लॉग इन करने के लिए कोई प्रयास दिखाई देते हैं), और यह किसी मौजूदा उपयोगकर्ता (संभावना नहीं)
- उपयोगकर्ता यह पता लगाने कैसे एक आईआईएस वेब साइट लौट कुकी-यूआरएल (संभावना नहीं) बनाने के लिए करने में कामयाब के सत्र मैच के लिए हुआ है, तो उस यूआरएल पर चिपके हुए एक और वेब साइट (संभावना नहीं), जहां Google ने cookieless url पाया और इसे क्रॉल किया
- उपयोगकर्ता मोबाइल प्रॉक्सी (जो वे नहीं हैं) के माध्यम से चल रहा है। प्रॉक्सी सर्वर कुकीज़ का समर्थन नहीं करता है, इसलिए आईआईएस एक कुकीज सत्र बनाता है। वह (उदा। ओपेरा मोबाइल) कैशिंग सर्वर का उल्लंघन (संभव नहीं) और हैकर फ़ोरम पर पोस्ट किए गए सभी कैश किए गए लिंक का उल्लंघन किया गया था। GoogleBot ने हैकर फ़ोरम को क्रॉल किया, और सभी लिंक का पालन करना शुरू किया; हमारे
[email protected]
कुकीज सत्र यूआरएल सहित। - उपयोगकर्ता के पास एक वायरस है, जो किसी भी आईआईएस वेब-सर्वर को कुकेलिस यूआरएल को वापस करने में कामयाब होता है। वह वायरस फिर मुख्यालय की रिपोर्ट करता है। यूआरएल को सार्वजनिक रूप से सुलभ संसाधन पर पोस्ट किया जाता है, जिसे GoogleBot क्रॉल करता है। GoogleBot तब हमारे सर्वर पर cookieless url के साथ दिखाई देता है।
इनमें से कोई भी वास्तव में व्यवहार्य नहीं है।
Google
एक गैर-दुर्भावनापूर्ण वेब-क्रॉलर बायपास वेबफॉर्म प्रमाणीकरण, और उपयोगकर्ता के मौजूदा सत्र को हाइजैक कर सकता है?
आप क्या पूछ रहे हैं?
मुझे यह भी पता नहीं है कि कैसे एक एएसपीनेट वेब साइट है, जो कुकीज-सत्र देने के लिए कॉन्फ़िगर नहीं है, कुकीज सत्र दे सकता है। क्या कुकी-आधारित सत्र आईडीकुकीज-आधारित सत्र आईडी में वापस कनवर्ट करना संभव है? मैं web.config
और machine.config
के प्रासंगिक <sessionState>
अनुभाग बोली सकता है, और दिखाने के
<sessionState cookieless="true">
कैसे वेब सर्वर का फैसला करता है कि ब्राउज़र समर्थन नहीं देता है की कोई उपस्थिति नहीं है? मैंने क्रोम में कुकीज़ को अवरुद्ध करने का प्रयास किया, और मुझे कभी कुकी-कम सत्र पहचानकर्ता नहीं दिया गया था। क्या मैं एक ब्राउज़र को अनुकरण कर सकता हूं जो 'कुकीज़ का समर्थन नहीं करता है, यह सत्यापित करने के लिए कि मेरा सर्वर कुकीज सत्र नहीं दे रहा है?
क्या सर्वर उपयोगकर्ता-एजेंट स्ट्रिंग द्वारा कुकीज सत्र का निर्णय लेता है? यदि ऐसा है, तो मैं इंटरनेट एक्सप्लोरर को एक स्पूफेड UA के साथ सेट कर सकता हूं।
क्या एएसपीनेट में सत्र पहचान पूरी तरह से कुकी पर निर्भर करती है? क्या कोई भी आईपी, कुकी-यूआरएल के साथ, उस सत्र तक पहुंच सकता है? क्या एएसपीनेट डिफ़ॉल्ट रूप से नहीं खाता है?
ASP.net हैं सत्र के साथ टाई आईपी पता, इसका मतलब यह नहीं होता है कि सत्र उनके घर के कंप्यूटर पर कर्मचारी से उत्पन्न नहीं हो सकता था? क्योंकि तब जब GoogleBot क्रॉलर ने इसे Google आईपी से उपयोग करने का प्रयास किया, तो यह असफल रहा होगा?
क्या एएसपीनेट के कहीं भी (उदाहरण के लिए मैंने लिंक किया है) के अलावा कोई भी उदाहरण है जब इसे कॉन्फ़िगर नहीं किया गया है? क्या इस पर एक माइक्रोसॉफ्ट कनेक्ट मुद्दा है?
क्या वेब-फॉर्म प्रमाणीकरण समस्याएं हैं, और सुरक्षा के लिए उपयोग नहीं किया जाना चाहिए?
बोनस पढ़ना
संपादित:
गूगल
बॉट कि विशेषाधिकार को नजरअंदाज कर, के रूप में लोगों को सिर से मंद पर पैंट हैं निकाला गया नाम; उलझन में
Google
किसी और चीज़ के लिए क्रॉलर का नाम। मैं
Google
क्रॉलर का नाम अनुस्मारक के रूप में उपयोग करता हूं कि यह एक गैर-दुर्भावनापूर्ण वेब-क्रॉलर था जो किसी अन्य उपयोगकर्ता के वेबफॉर्म सत्र में इसे क्रॉल करने में कामयाब रहा।यह एक दुर्भावनापूर्ण क्रॉलर के विपरीत है, जो किसी अन्य उपयोगकर्ता के सत्र में तोड़ने की कोशिश कर रहा था। उत्तेजना लाने के लिए एक पैडेंट की तरह कुछ भी नहीं।
आपको कोई समस्या है। चाहे Google कोई फर्क नहीं पड़ता है या नहीं। आपकी साइट स्पष्ट रूप से सुरक्षित नहीं है। Google पर शिकायत दर्ज करने और (अप्रमाणित) आरोपों को पोस्ट करने के बजाय, हमें अपनी साइट के बारे में कुछ क्यों न बताएं और शायद हम यह जानने में आपकी सहायता कर सकते हैं कि आपने क्या किया है? –
वैसे, आपकी सूची में "[email protected]" क्या है? कृपया मुझे मत बताओ कि सत्र आईडी है !!! –
ऐसा लगता है कि जब आप क्रोम के साथ पृष्ठ पर जाते हैं (या शायद Google सामग्री के साथ अन्य ब्राउज़रों को जोड़ा जाता है), तो आपके द्वारा देखी जाने वाली यूआरएल को Google के लिए अनुक्रमणित किया जाता है। हमारे गोपनीय पते और बंदरगाह (और निश्चित रूप से उस सर्वर के लिए कोई बाहरी लिंक) पर रहने वाले हमारे कॉर्पोरेट सर्वर के साथ समान था। फिर भी, आपका प्रश्न SO पर ऑफटॉप है। –