קוקיז או סשן? מה עדיף? - עמוד 3 - הוסטס

meshuga · 02-04-06, 17:52

ציטוט:

נכתב במקור על ידי eLad

כל אתר שומר את הסיסמא בעוגייה? אני ממש לא חושב ככה.
וגם אם עושים את זה אז זו תפיסת אבטחה מוטעית מיסודה ולא ככה עושים את הדברים..

בכלל - סיסמאת משתמש היא אחד הדברים שצריכים להיות שמורים ביותר לאחר ביצוע הרשמה. אין שום טעם לפרסם אותה בעוגיה כדי שכל אחד יוכל לעיין בזה (אפילו אם זה מוצפן ב MD5), ועל אחת כמה וכמה שכל העולם ואישתו משתמשים ב MD5.

איך בקלות אני פורץ לכם את האבטחה במקרה הזה?

נניח ומדובר במערכת פורומים ובעוגייה נשמרים ה userID וה userPassword (מוצפן ב MD5).
לצורך העניין ה userID הוא 6523 וה userPassword זה 32 תווים מסויימים שהנפיק ה md5.

אני נרשם לפורום בתור משתמש רגיל, הולך לפרופיל משתמש של יוזר 6523. על ידי כך מצאתי את ה userName שלו.

אני הולך לעוגיה שגנבתי, מוציא משם את ה 32 תווים שהנפיק ה MD5, מכניס את ה 32 תווים האלו בגוגל ותוך שניות אני מקבל ביטוי שיכול להרכיב את ההצפנה הזאתי (אתם יודעים שלמשל למילה "שלום" ולביטוי "whats up" ייתכן אותו פלט?).

ברגע שקיבלתי את הביטוי שהוצפן (נניח וזה המילה "אלעד") אני הולך לטופס התחברות ומתחבר עם הפרטים שבידיי - היוזר שמצאתי והביטוי שהוצפן מגוגל. היופי בדבר הוא שאני אפילו לא צריך לדעת מה הסיסמא האמיתית של הבחור כי כל הבדיקות שאתם עושים זה פשוט להצפין את המחרוזת שקיבלתם ולהשוות אותה למה שיש במסד. במקרה הזה הביטוי שמצאתי בגוגל יהיה שווה לביטוי שיש במסד.. והופס.. אני בפנים

ואלו היום 60 שניות עם אלעד איך פורצים אבטחה של פורום שחושב שהוא חכם ושומר סיסמא בעוגייה

אז איך אתה רוצה לעשות את זה?....כי לפי מה שאמרת ברגע זה אתה יכול לפרוץ לי למשתמש פה.

eLad · 02-04-06, 18:00

ציטוט:

נכתב במקור על ידי meshuga

אז איך אתה רוצה לעשות את זה?....כי לפי מה שאמרת ברגע זה אתה יכול לפרוץ לי למשתמש פה.

יש שיטות אחרות טובות יותר לבצע את זה. design אחר ל DB.

בכל מקרה אני לא יכול לפרוץ לך למשתמש פה מהסיבה הפשוטה שלא השגתי עדיין את העוגייה שלך. אם אני אמצא איזה באג במערכת (רמז רמז העלאת קבצים ושימוש ב document.cookie לדומיין שלי) אז המשתמש שלך בהחלט נפרץ.

~~HighA~~ · 02-04-06, 18:02

תראה, בשביל להשיג את הקוקיז שלו אתה צריך גישה למחשב שלו, ואם יש לך את זה אז אתה כבר יכול להכנס לפורום או למה שזה לא יהיה

eLad · 02-04-06, 18:04

ציטוט:

נכתב במקור על ידי SsH S Scripts

תראה, בשביל להשיג את הקוקיז שלו אתה צריך גישה למחשב שלו, ואם יש לך את זה אז אתה כבר יכול להכנס לפורום או למה שזה לא יהיה

ממש לא. אני לא צריך גישה למחשב שלו.

תחשוב רגע בהיגיון, אם רק מגישה פיזית למחשב היה אפשר לפרוץ קוקיז, אז מה הטעם בהצפנת הסיסמא שם? סתם עוד זמן עיבוד שרת?

אני בקלות יכול לנצל פרצת אבטחה שקיימת פה בפורום (להזכירכם, גם בפעם שעברה הצלחתי לזייף את הניק של דני) והעוגיה תגיע אלי בלי שום טרחה גדולה..

~~HighA~~ · 02-04-06, 18:05

רגע אז איך אתה מציג לעשות?

eLad · 02-04-06, 18:13

ציטוט:

נכתב במקור על ידי SsH S Scripts

רגע אז איך אתה מציג לעשות?

יש הרבה דרכים לבצע וזה בעיקר קשור באיך אתה מתכנן את המסד שלך ולמה אתה זקוק בשליפה. ובכלל, במערכות שאני בונה אני מוודא קודם כל את תקינות העוגייה ומעביר את הנתונים ל session שאליו הגישה מהירה הרבה יותר.

~~HighA~~ · 02-04-06, 18:17

איך אני יכול להשאיר משתמש מחובר גם כשהוא יוצא מהדפדפן ושזה יהיה "מאובטח"?
כי עד עכשיו רק הערת לנו אבל בעצם לא אמרת איך

nevo · 02-04-06, 18:19

eLad , אז זה אומר שבקלות פה אתה יכול לפרוץ למנהל הראשי..?

~~Eye-Soft~~ · 02-04-06, 18:27

אלעד, כדי לאפשר למשתמש להיות תמיד מחובר חובה שגם הPASS וגם הUN יהיו שם. ישנם המון דרכים לשחק עם זה. אני לדוגמא משלב בין העוגיה לSESSION. המידע מהעוגיה הוא רק כדי לבדוק האם המידע בה תקני. אם הוא תקני אני עובר לעבוד רק עם הSESSION.

eLad · 02-04-06, 18:38

ציטוט:

נכתב במקור על ידי nevo

eLad , אז זה אומר שבקלות פה אתה יכול לפרוץ למנהל הראשי..?

לא בקלות, אבל עם טיפה מאמץ זה אפשרי

ציטוט:

נכתב במקור על ידי Eye-Soft

אלעד, כדי לאפשר למשתמש להיות תמיד מחובר חובה שגם הPASS וגם הUN יהיו שם. ישנם המון דרכים לשחק עם זה.

לא הבנתי מה הקשר לזה.. ברגע שאני מצליח להתחבר פעם אחת עם העוגיה שגנבתי נגמר הסיפור והמערכת נפרצה (אני אפילו לא צריך לשנות סיסמא כי המערכת אוטומטית תכניס לי עוגייה כשרה למהדרין).

ציטוט:

נכתב במקור על ידי Eye-Soft

אני לדוגמא משלב בין העוגיה לSESSION. המידע מהעוגיה הוא רק כדי לבדוק האם המידע בה תקני. אם הוא תקני אני עובר לעבוד רק עם הSESSION.

זה בדיוק מה שאמרתי -

ציטוט:

נכתב במקור על ידי eLad

יש הרבה דרכים לבצע וזה בעיקר קשור באיך אתה מתכנן את המסד שלך ולמה אתה זקוק בשליפה. ובכלל, במערכות שאני בונה אני מוודא קודם כל את תקינות העוגייה ומעביר את הנתונים ל session שאליו הגישה מהירה הרבה יותר.

02-04-06, 18:19	# 28
nevo חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 33 הודעות: 1,217	eLad , אז זה אומר שבקלות פה אתה יכול לפרוץ למנהל הראשי..? __________________ צלם אירועים, צילום אירועים, צילום חתונות, צלם, צילום קוריאן , עיצוב , עיצוב מטבחים , דלפקים , שיש , דמוי שיש , חיפוי קירות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

02-04-06, 18:02	# 23
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 32 הודעות: 833	תראה, בשביל להשיג את הקוקיז שלו אתה צריך גישה למחשב שלו, ואם יש לך את זה אז אתה כבר יכול להכנס לפורום או למה שזה לא יהיה

02-04-06, 18:05	# 25
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 32 הודעות: 833	רגע אז איך אתה מציג לעשות?

02-04-06, 18:17	# 27
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 32 הודעות: 833	איך אני יכול להשאיר משתמש מחובר גם כשהוא יוצא מהדפדפן ושזה יהיה "מאובטח"? כי עד עכשיו רק הערת לנו אבל בעצם לא אמרת איך

02-04-06, 18:27	# 29
~~Eye-Soft~~ Permanently Banned מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,158	אלעד, כדי לאפשר למשתמש להיות תמיד מחובר חובה שגם הPASS וגם הUN יהיו שם. ישנם המון דרכים לשחק עם זה. אני לדוגמא משלב בין העוגיה לSESSION. המידע מהעוגיה הוא רק כדי לבדוק האם המידע בה תקני. אם הוא תקני אני עובר לעבוד רק עם הSESSION.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)