ForoHack.COM Mensaje - Ataques de fijación de sesión.

ENTRAR EN EL FOROHACK ANTIGUO (Muchos temas viejos y de menor nivel)

05:17:54 10/09/2010

¿No estas registrado?

165 Usuarios en línea: 0 registrados, 165 invitados.
Conéctate y verás los usuarios en línea

Tema: Ataques de fijación de sesión.

Responder

Todos Los Foros -> Defacing -> Tutoriales -> Ataques de fijación de sesión.

Autor

Mensaje (Ver Versión para Imprimir)

s3cure
Aprendiz nivel 3

Mensajes: 80
Registrad@:
07/01/2010
Estado: Desconectad@

Ataques de fijación de sesión.

#pequeña Documentación-Ataques de fijación de sesión.
#s3cure
#HSLTeam.com!

# Introducción:

Esto es el famoso intento de explotar la vulnerabilidad de un sistema donde a una persona se le permite fijar el identificador de sesión.

# Vulneribilidad

Cuando se detecta que se acepta cualquier identificador de sesión y no tiene validación de seguridad.

Se trata de fijar el SID a donde uno quiera.

ejemplo: /?SID=FIJACION

Como se verá, este es el ataque más simple: donde uno ve como default el sitio de registro o login.

Luego de que la victima esté dentro, /?SID=FIJACION nos dará el 'pwned' ilimitado de la cuenta anteriormente logeada por la victima.

Este ataque, también puede llevarse por cookies, ejemplo:

SID=COOKIE

y se reiteran pasos anteriores.

# Soluciones:

El uso de cookies, deben ser identificados como por defecto, 0.

Por algo, es muy utilizado el SSL, etc.

# END.

salu2.

~~Creer que todo es genial para luego ver realidad.~~

14/01/2010 05:49:36

REGÍSTRATE PARA PODER ENVIAR UN MENSAJE (tardas 20 segundos)