क्या आप मुझे सत्र निर्धारण हमले का एक उदाहरण दे सकते हैं?

Question

मैंने सत्र निर्धारण के बारे में पढ़ा है और जो मैं समझता हूं उससे यह उपयोगकर्ता को हमलावर के सत्र का उपयोग करने के लिए मजबूर करता है। क्या ये सही है? क्या आप मुझे उदाहरण दे सकते हैं कि यह उपयोगकर्ता को कैसे अपमानित कर सकता है?

Answer 1

मैं आमतौर पर विकिपीडिया के लिंक पोस्ट करने के लिए पसंद नहीं है, लेकिन यहाँ a very good explanation on Wikipedia के लिए एक लिंक है ...

यहाँ यह का मांस है:

• ऐलिस बैंक http://unsafe/ पर एक खाता है । दुर्भाग्य से, ऐलिस बहुत सुरक्षा समझदार नहीं है।

• मैलोरी बैंक से एलिस के पैसे प्राप्त करने के लिए बाहर है।

• एलिस के पास मैलोरी में विश्वास का उचित स्तर है, और लिंक मैरी उसे भेजता है।

  1. मैलोरी ने निर्धारित किया है कि http://unsafe/ किसी भी सत्र पहचानकर्ता को स्वीकार करता है, क्वेरी स्ट्रिंग से सत्र पहचानकर्ता स्वीकार करता है और इसमें कोई सुरक्षा सत्यापन नहीं है। http://unsafe/ इस प्रकार सुरक्षित नहीं है।
  2. मैलोरी ऐलिस को एक ई-मेल भेजता है: "अरे, इसे देखें, हमारे बैंक, http://unsafe/?SID=I_WILL_KNOW_THE_SID पर एक अच्छी नई खाता सारांश सुविधा है"। मैलोरी एसआईडी को I_WILL_KNOW_THE_SID में ठीक करने का प्रयास कर रहा है।
  3. एलिस रुचि रखते हैं और http://unsafe/?SID=I_WILL_KNOW_THE_SID पर जाते हैं। सामान्य लॉग-ऑन स्क्रीन पॉप अप होती है, और ऐलिस लॉग ऑन करता है।
  4. मैलोरी http://unsafe/?SID=I_WILL_KNOW_THE_SID पर जाता है और अब ऐलिस के खाते में असीमित पहुंच है।