שאלה על אבטחת קוקיז - הוסטס

stel222 · 08-07-09, 02:25

ציטוט:

נכתב במקור על ידי daMn

אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה.
הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ.

ואם הוא עורך ?
הרי בכל עמוד יש אימות שהשם משתמש והסיסמה בעוגיה באמת שווים אם לא שווים אז מחזיר שקר ככה בכל דף.
הוא יכול לערוך כמה שבא לו ברגע שהוא ערך זה לא יעבוד לו כי הפרטים לא יהיו נכונים

nbiwy · 08-07-09, 03:22

כשאתה מבצע חיבור למקומות קריטיים ולא איזה אתר דמיקולו שבנית לתומך, הסתמכות על עוגיות מסוכנת מכיוון שאפשר לגנוב אותם.
יכול לקרות מצב שמשתמש מתחבר ממקום ציבורי ושוכח להתנתק, הבאים אחריו יכולים להתחבר בשמו ולבצע פעולות בחשבון המשתמש שלו.
יותר מזה, הם יכולים להעתיק את העוגיה ולשתול אותה במחשבם האישי ולהתחבר למשתמש הזה מכל מקום.
פירצת SSH מכיוון בלתי צפוי פתאום מעמידה את האתר שלך בסכנה.
אפשר למצוא עוד המון סיטואציות.
וכל זאת מבלי להזכיר שעוגיה היא קלט שמגיע ממקור חיצוני ואפשר להכניס בה תווים לא חוקיים ולנצל פרצות אבטחה באתר.
כמו כן, יש לזכור להצפין כל מידע חשוב ששמור בעוגיה.

שיהיה בהצלחה


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

08-07-09, 03:22	# 2
nbiwy חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2008 הודעות: 99	כשאתה מבצע חיבור למקומות קריטיים ולא איזה אתר דמיקולו שבנית לתומך, הסתמכות על עוגיות מסוכנת מכיוון שאפשר לגנוב אותם. יכול לקרות מצב שמשתמש מתחבר ממקום ציבורי ושוכח להתנתק, הבאים אחריו יכולים להתחבר בשמו ולבצע פעולות בחשבון המשתמש שלו. יותר מזה, הם יכולים להעתיק את העוגיה ולשתול אותה במחשבם האישי ולהתחבר למשתמש הזה מכל מקום. פירצת SSH מכיוון בלתי צפוי פתאום מעמידה את האתר שלך בסכנה. אפשר למצוא עוד המון סיטואציות. וכל זאת מבלי להזכיר שעוגיה היא קלט שמגיע ממקור חיצוני ואפשר להכניס בה תווים לא חוקיים ולנצל פרצות אבטחה באתר. כמו כן, יש לזכור להצפין כל מידע חשוב ששמור בעוגיה. שיהיה בהצלחה

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)