ENTRAR EN EL FOROHACK ANTIGUO (Muchos temas viejos y de menor nivel)
13:32:19 17/10/2019
¿No estas registrado?
Login: Clave:
4 Usuarios en línea: 0 registrados, 4 invitados.
Conéctate y verás los usuarios en línea
Tema: Ataques de fijación de sesión.
    Responder
Todos Los Foros -> Defacing -> Tutoriales -> Ataques de fijación de sesión.
Autor Mensaje (Ver Versión para Imprimir)
s3cure
Usuario Enfermo
Arreglando las imágenes

Mensajes: 69
Registrad@:
07/01/2010
Estado: Desconectad@
Ataques de fijación de sesión.

#pequeña Documentación-Ataques de fijación de sesión.
#s3cure
#HSLTeam.com!

# Introducción:

Esto es el famoso intento de explotar la vulnerabilidad de un sistema donde a una persona se le permite fijar el identificador de sesión.

# Vulneribilidad

Cuando se detecta que se acepta cualquier identificador de sesión y no tiene validación de seguridad.

Se trata de fijar el SID a donde uno quiera.

ejemplo: /?SID=FIJACION

Como se verá, este es el ataque más simple: donde uno ve como default el sitio de registro o login.

Luego de que la victima esté dentro, /?SID=FIJACION nos dará el 'pwned' ilimitado de la cuenta anteriormente logeada por la victima.

Este ataque, también puede llevarse por cookies, ejemplo:

SID=COOKIE

y se reiteran pasos anteriores.

# Soluciones:

El uso de cookies, deben ser identificados como por defecto, 0.

Por algo, es muy utilizado el SSL, etc.

# END.




salu2.


Creer que todo es genial para luego ver realidad.
14/01/2010 05:49:36 


REGÍSTRATE PARA PODER ENVIAR UN MENSAJE (tardas 20 segundos)

Copyright ForoHack.com