私はセッション固定について読みました、そしてそれがユーザーに攻撃者のセッションを使用することを強制することを私が理解していることから。これは正しいです?これがどのようにユーザーを怒らせる可能性があるかの例を教えてください。
8170 次
1 に答える
29
私は通常、ウィキペディアへのリンクを投稿するのは好きではありませんが、ウィキペディアの非常に良い説明へのリンクがあります...
これがその本質です:
アリスは銀行http://unsafe/に口座を持っています。残念ながら、アリスはセキュリティに精通していません。
マロリーは銀行からアリスのお金を手に入れるために出かけています。
アリスはマロリーに対して妥当なレベルの信頼を持っており、マロリーが彼女に送るリンクにアクセスします。
- マロリーは、http:// unsafe /が任意のセッション識別子を受け入れ、クエリ文字列からセッション識別子を受け入れ、セキュリティ検証がないと判断しました。したがって、 http://unsafe/は安全ではありません。
- マロリーはアリスに電子メールを送信します:「ねえ、これをチェックしてください、私たちの銀行にクールな新しいアカウント要約機能があります、http:// unsafe /?SID=I_WILL_KNOW_THE_SID」。マロリーはSIDをI_WILL_KNOW_THE_SIDに固定しようとしています。
- アリスは興味があり、http:// unsafe /?SID=I_WILL_KNOW_THE_SIDにアクセスします。通常のログオン画面が表示され、アリスがログオンします。
- マロリーはhttp:// unsafe /?SID = I_WILL_KNOW_THE_SIDにアクセスし、アリスのアカウントに無制限にアクセスできるようになりました。
于 2009-07-13T21:13:06.867 に答える