मैंने सत्र निर्धारण के बारे में पढ़ा है और जो मैं समझता हूं उससे यह उपयोगकर्ता को हमलावर के सत्र का उपयोग करने के लिए मजबूर करता है। क्या ये सही है? क्या आप मुझे उदाहरण दे सकते हैं कि यह उपयोगकर्ता को कैसे अपमानित कर सकता है?क्या आप मुझे सत्र निर्धारण हमले का एक उदाहरण दे सकते हैं?
7
A
उत्तर
28
मैं आमतौर पर विकिपीडिया के लिंक पोस्ट करने के लिए पसंद नहीं है, लेकिन यहाँ a very good explanation on Wikipedia के लिए एक लिंक है ...
यहाँ यह का मांस है:
ऐलिस बैंक http://unsafe/ पर एक खाता है । दुर्भाग्य से, ऐलिस बहुत सुरक्षा समझदार नहीं है।
मैलोरी बैंक से एलिस के पैसे प्राप्त करने के लिए बाहर है।
एलिस के पास मैलोरी में विश्वास का उचित स्तर है, और लिंक मैरी उसे भेजता है।
- मैलोरी ने निर्धारित किया है कि http://unsafe/ किसी भी सत्र पहचानकर्ता को स्वीकार करता है, क्वेरी स्ट्रिंग से सत्र पहचानकर्ता स्वीकार करता है और इसमें कोई सुरक्षा सत्यापन नहीं है। http://unsafe/ इस प्रकार सुरक्षित नहीं है।
- मैलोरी ऐलिस को एक ई-मेल भेजता है: "अरे, इसे देखें, हमारे बैंक, http://unsafe/?SID=I_WILL_KNOW_THE_SID पर एक अच्छी नई खाता सारांश सुविधा है"। मैलोरी एसआईडी को I_WILL_KNOW_THE_SID में ठीक करने का प्रयास कर रहा है।
- एलिस रुचि रखते हैं और http://unsafe/?SID=I_WILL_KNOW_THE_SID पर जाते हैं। सामान्य लॉग-ऑन स्क्रीन पॉप अप होती है, और ऐलिस लॉग ऑन करता है।
- मैलोरी http://unsafe/?SID=I_WILL_KNOW_THE_SID पर जाता है और अब ऐलिस के खाते में असीमित पहुंच है।
संबंधित मुद्दे
- 1. सरल सत्र निर्धारण हमले
- 2. प्रमाणीकरण - क्या आप कुकीज़/सत्र का उपयोग कर सकते हैं?
- 3. क्या आप सी ++ में स्टैक ओवरफ़्लो का उदाहरण दे सकते हैं?
- 4. क्या आप सिग्नेशन के लिए तर्क दे सकते हैं?
- 5. आप कितने गैर-जीओएफ पैटर्न का नाम दे सकते हैं?
- 6. क्या आप किसी सरणी के आइटम प्रकार का संकेत दे सकते हैं?
- 7. क्या आप w3wp.exe का एक उदाहरण नाम दे सकते हैं ताकि यह प्रक्रिया में संलग्न हो सके?
- 8. क्या कोई मुझे node.js एप्लिकेशन का उदाहरण दे सकता है
- 9. क्या आप मुझे LINQ/lambda कोड अभ्यास के साथ संसाधन की सलाह दे सकते हैं?
- 10. क्या आप एक व्यक्ति टीम के लिए बग ट्रैकिंग टूल का सुझाव दे सकते हैं?
- 11. क्या आप एक गैर-HTML WYSIWYG वेब संपादक का सुझाव दे सकते हैं?
- 12. सत्र निर्धारण - फॉर्म प्रमाणीकरण
- 13. एनएस डिक्शनरी के साथ, क्या आप डेटा के प्रकार का निर्धारण कर सकते हैं?
- 14. आप कंप्यूटर को "प्राकृतिक आवश्यकता" कैसे दे सकते हैं?
- 15. क्या उपयोगकर्ता सत्र चर बदल सकते हैं?
- 16. क्या आप इसे समझने में मेरी मदद कर सकते हैं? "सामान्य आरईएसटी गलतियों: सत्र अप्रासंगिक हैं"
- 17. क्रॉस-साइट स्क्रिप्टिंग हमले का एक साधारण उदाहरण
- 18. jQuery यूआई डेटपिकर: क्या आप एक तिथि प्रारूपित कर सकते हैं और एकाधिक सेपरेटर वर्णों को अनुमति दे सकते हैं?
- 19. मुझे एमवीसी के स्पष्ट उदाहरण कहां मिल सकते हैं?
- 20. क्या आप ऑर्डर में सभी कॉलम के लिए एक दिशा दे सकते हैं?
- 21. आप वास्तव में कितना एप्लिकेशन सत्र डेटा रख सकते हैं?
- 22. क्या आप PHP सत्र फ़ाइलों का पता लगाने में मेरी सहायता कर सकते हैं?
- 23. क्या आप यह पता लगा सकते हैं कि एक Django मॉडल उदाहरण "गंदा" है या नहीं?
- 24. क्या आप विंडसर कंटेनर में किसी प्रकार का मौजूदा उदाहरण पंजीकृत कर सकते हैं?
- 25. क्या आप रेगेक्स केस-असंवेदनशील का हिस्सा बना सकते हैं?
- 26. क्या आप "अदृश्य सीमा" बना सकते हैं?
- 27. सी में आप क्या नहीं कर सकते हैं जिसे आप उद्देश्य-सी में कर सकते हैं?
- 28. क्या आप एक एलपीटीस्ट्रेट को बीएसटी में डाल सकते हैं?
- 29. क्या आप एफ # में एक ऑपरेटर (***) परिभाषित कर सकते हैं?
- 30. जब आप ढेर पर वस्तुएं घोषित की जाती हैं तो क्या आप विनाशक आदेश की गारंटी दे सकते हैं?
इस एक बहुत अच्छी जवाब – Tony
@RichieHindle इसका मतलब यह होगा कि बैंक साइट सत्र आईडी बनाते हैं, और Nout क्या करता है, तो बस किसी भी सत्र id को स्वीकार है, तो इस हमले संभव नहीं है या मैं कुछ याद आ रही है यहाँ बात है? – Inquisitive
भले ही बैंक केवल उत्पन्न आईडी को स्वीकार करता है, ऐलिस सुरक्षित नहीं है। मैलोरी बैंक द्वारा जेनरेट की गई सत्र आईडी प्राप्त करने के लिए बैंक की साइट पर जा सकती है, और उसके बाद उसे ऐलिस को भेजे गए लिंक में उपयोग कर सकते हैं। सत्र निर्धारण हमलों के खिलाफ बचाव के तरीके के विवरण के लिए लिंक किए गए विकिपीडिया आलेख को देखें। – RichieHindle