שאלה על אבטחת קוקיז - הוסטס

stel222 · 07-07-09, 12:19

ברגע שאני יוצר 2 קוקיז על המחשב שם משתמש וסיסמה
ובכל כניסה לדף מאמת שהשם משתמש וסיסמה נכונים ונמצאים במסד נתונים
מה הסיכוי לפרוץ למערכת ?

גם אם ישנו את הקוקיז זה יתן שגיאה כי ישנו לשם משתמש או סיסמה שלא קיימת..

אדיר · 07-07-09, 13:41

כל עוד אתה מאבטח את המידע המתקבל מהעוגיות,
הסיכוי לפריצה הוא בדיוק כמו הסיכוי לפריצה דרך פאנל התחברות רגיל העובד ב- POST או בכל שיטה אחרת לקבלת קלט מהמשתמש.

daMn · 07-07-09, 16:38

אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה.
הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ.

nbiwy · 08-07-09, 01:42

לא מומלצת להסתמך על עוגיות באתרים שההתחברות אליהם היא קריטית, לדוגמא, אתרי מכירה.
בכל מקרה לקלט של עוגיה יש להתייחס ככל קלט שמגיע ממקור חיצוני - בחשדנות יתרה.

stel222 · 08-07-09, 02:25

ציטוט:

נכתב במקור על ידי daMn

אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה.
הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ.

ואם הוא עורך ?
הרי בכל עמוד יש אימות שהשם משתמש והסיסמה בעוגיה באמת שווים אם לא שווים אז מחזיר שקר ככה בכל דף.
הוא יכול לערוך כמה שבא לו ברגע שהוא ערך זה לא יעבוד לו כי הפרטים לא יהיו נכונים

nbiwy · 08-07-09, 03:22

כשאתה מבצע חיבור למקומות קריטיים ולא איזה אתר דמיקולו שבנית לתומך, הסתמכות על עוגיות מסוכנת מכיוון שאפשר לגנוב אותם.
יכול לקרות מצב שמשתמש מתחבר ממקום ציבורי ושוכח להתנתק, הבאים אחריו יכולים להתחבר בשמו ולבצע פעולות בחשבון המשתמש שלו.
יותר מזה, הם יכולים להעתיק את העוגיה ולשתול אותה במחשבם האישי ולהתחבר למשתמש הזה מכל מקום.
פירצת SSH מכיוון בלתי צפוי פתאום מעמידה את האתר שלך בסכנה.
אפשר למצוא עוד המון סיטואציות.
וכל זאת מבלי להזכיר שעוגיה היא קלט שמגיע ממקור חיצוני ואפשר להכניס בה תווים לא חוקיים ולנצל פרצות אבטחה באתר.
כמו כן, יש לזכור להצפין כל מידע חשוב ששמור בעוגיה.

שיהיה בהצלחה

stel222 · 08-07-09, 13:34

תודה חשבתי להשתמש בזה בחנות אבל נראה לי שאני יוותר על הרעיון

אדיר · 08-07-09, 15:15

אתה יכול ליצור מערכת סישניים משלך, להצליב עם האייפי ולעשות מלא דברים על מנת למנוע גניבת עוגיות..
בנוגע לפרצות האבטחה, כמו שאמרתי אתה צריך לאבטח את המידע המגיע מהעוגיה כמו שאתה מאבטח כל קלט אחר שהגיע מהמשתמש, אין פה משהו מיוחד.

Shay Ben Moshe · 08-07-09, 16:00

לדעתי אין לך יותר מדי מה לחשוש.
כל עוד זו לא מערכת שעולוה לגרום נזק אין יותר מדי מה לחשוש.
אתה מאחסן בקוקי את הUSERNAME ואת הPASSWORD בקוקי נוסף מוצפן בMD5 או הצפנה אחרת לבחירתך (שאינה הפיכה). כשאתה בודק התחברות, אתה שולף מהמסד את הסיסמה של המשתמש בעזרת הקוקי ומצפין את הסיסמה בהתאם להצפנה שלה בקוקי ומשווה...

אפשרי לגנוב את זה, ופה הבעיה האמיתית. אבל אפשרי לגנוב הרבה דברים..

07-07-09, 12:19	# 1
stel222 חבר מתקדם מיני פרופיל תאריך הצטרפות: Mar 2008 הודעות: 399	שאלה על אבטחת קוקיז ברגע שאני יוצר 2 קוקיז על המחשב שם משתמש וסיסמה ובכל כניסה לדף מאמת שהשם משתמש וסיסמה נכונים ונמצאים במסד נתונים מה הסיכוי לפרוץ למערכת ? גם אם ישנו את הקוקיז זה יתן שגיאה כי ישנו לשם משתמש או סיסמה שלא קיימת..

07-07-09, 13:41	# 2
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	כל עוד אתה מאבטח את המידע המתקבל מהעוגיות, הסיכוי לפריצה הוא בדיוק כמו הסיכוי לפריצה דרך פאנל התחברות רגיל העובד ב- POST או בכל שיטה אחרת לקבלת קלט מהמשתמש. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות

07-07-09, 16:38	# 3
daMn הוסטסניון מיני פרופיל תאריך הצטרפות: Mar 2007 גיל: 34 הודעות: 2,050	אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה. הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ. __________________ "חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." (אריק ס. ריימונד)

08-07-09, 15:15	# 8
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	אתה יכול ליצור מערכת סישניים משלך, להצליב עם האייפי ולעשות מלא דברים על מנת למנוע גניבת עוגיות.. בנוגע לפרצות האבטחה, כמו שאמרתי אתה צריך לאבטח את המידע המגיע מהעוגיה כמו שאתה מאבטח כל קלט אחר שהגיע מהמשתמש, אין פה משהו מיוחד. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות

08-07-09, 16:00	# 9
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	לדעתי אין לך יותר מדי מה לחשוש. כל עוד זו לא מערכת שעולוה לגרום נזק אין יותר מדי מה לחשוש. אתה מאחסן בקוקי את הUSERNAME ואת הPASSWORD בקוקי נוסף מוצפן בMD5 או הצפנה אחרת לבחירתך (שאינה הפיכה). כשאתה בודק התחברות, אתה שולף מהמסד את הסיסמה של המשתמש בעזרת הקוקי ומצפין את הסיסמה בהתאם להצפנה שלה בקוקי ומשווה... אפשרי לגנוב את זה, ופה הבעיה האמיתית. אבל אפשרי לגנוב הרבה דברים.. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

08-07-09, 01:42	# 4
nbiwy חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2008 הודעות: 99	לא מומלצת להסתמך על עוגיות באתרים שההתחברות אליהם היא קריטית, לדוגמא, אתרי מכירה. בכל מקרה לקלט של עוגיה יש להתייחס ככל קלט שמגיע ממקור חיצוני - בחשדנות יתרה.

08-07-09, 03:22	# 6
nbiwy חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2008 הודעות: 99	כשאתה מבצע חיבור למקומות קריטיים ולא איזה אתר דמיקולו שבנית לתומך, הסתמכות על עוגיות מסוכנת מכיוון שאפשר לגנוב אותם. יכול לקרות מצב שמשתמש מתחבר ממקום ציבורי ושוכח להתנתק, הבאים אחריו יכולים להתחבר בשמו ולבצע פעולות בחשבון המשתמש שלו. יותר מזה, הם יכולים להעתיק את העוגיה ולשתול אותה במחשבם האישי ולהתחבר למשתמש הזה מכל מקום. פירצת SSH מכיוון בלתי צפוי פתאום מעמידה את האתר שלך בסכנה. אפשר למצוא עוד המון סיטואציות. וכל זאת מבלי להזכיר שעוגיה היא קלט שמגיע ממקור חיצוני ואפשר להכניס בה תווים לא חוקיים ולנצל פרצות אבטחה באתר. כמו כן, יש לזכור להצפין כל מידע חשוב ששמור בעוגיה. שיהיה בהצלחה

08-07-09, 13:34	# 7
stel222 חבר מתקדם מיני פרופיל תאריך הצטרפות: Mar 2008 הודעות: 399	תודה חשבתי להשתמש בזה בחנות אבל נראה לי שאני יוותר על הרעיון

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)