問題タブ [session-hijacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - マシンから別のマシンにクッキーをコピーするだけで、セッションのハイジャックを防ぐにはどうすればよいですか?
ほとんどの Web アプリケーションは Cookie を使用してユーザーのセッションを管理し、ブラウザーを閉じてもログイン状態を維持できるようにします。
Cookie自体が安全であることを確認するために、すべてのことを行ったとしましょう。
- コンテンツを暗号化する
- httpのみを設定
- 安全な設定
- 接続にはsslが使用されます
- Cookie のコンテンツの改ざんをチェックします
マシンに物理的にアクセスできる人が Cookie をコピーして別のマシンで再利用し、セッションを盗むのを防ぐことは可能ですか?
php - 次の接続を待たずに Cookie がクライアントのブラウザに到達したかどうかを確認する
セッション ストアに (限定的な) 形式のセキュリティを実装して、セッション ハイジャック (SSL なし) を防止するように設計されたセッション コントロール ライブラリを構築しています。
これは、リクエストごとにランダムな文字列に変更されるノンス Cookie を設定することで機能します。これまでのところ、それはうまく機能しており、接続が途中でタイムアウトになり、Cookie がクライアントに到達しない場合に、セッション データを有効に保つ基本的な方法を考え出しました。これは、最後に設定された nonce を保持することで行われ、古い nonce が存在する場合は更新されません。また、数秒間しか有効ではありません。
しかし、これにより、ハッカーが短いウィンドウで悪用する可能性のある小さなセキュリティ ホールが提供されます。現在、そのホールを塞ごうとしています。
これまでのところ、私が判断できる最善の方法は、Cookie がクライアントに送信されるのに十分な時間接続が続いていることを確認することです。を確認しましたconnection_handlingが、Cookie がネットワーク経由で送信されたのか (ステータスがnormalの時点であっsetcookieても)、ブラウザーによって受け入れられたのかわかりません。
では、クライアントが別のリクエストを行うのを待たずに、クライアントのブラウザに Cookie が設定されているかどうかを確認できる方法はありますか?
php - これらのコードを統合してセッション ハイジャックから保護する方法
これらのドキュメントを使用して、セッション ハイジャックに対する一定レベルの保護を統合しています (ページの下部)。この記事で説明されている基本的なことは理解できますが、まだこれらすべてに慣れていないため、何をすべきかを正確に特定することはできません。
これがどのように機能するかがわかります:
...そして、これが上記をより安全にする方法をちょっと理解しています:
しかし、私は 2 つを 1 つの作業スクリプトに結合することに行き詰まっています。ドキュメントの状態:
このフィンガープリントを URL 変数として渡す必要があります。
どういう意味ですか?URL でフィンガープリントを渡し、各ページで $_GET を使用する必要がありますか? これら 2 つのコード スニペットを 1 つのファイルにまとめて、すべての PHP ファイルに含めることができる人はいますか?
asp.net - セッション識別子が更新されないリスク、実際の脆弱性、または単なる誤検知リスク?
ASP.NET アプリケーションの 1 つで IBM AppScan を使用した最近のセキュリティ スキャンでは、次の中程度の脆弱性が報告されています。
セッション ID が更新されていません
重大度: 中
リスク: 顧客のセッションと Cookie を盗んだり操作したりする可能性があります。これは正当なユーザーになりすますために使用される可能性があり、ハッカーがユーザー レコードを表示または変更したり、そのユーザーとしてトランザクションを実行したりできる
原因:安全でない Web アプリケーションのプログラミングまたは構成。
さまざまなスレッドが同じことを話しているのを見つけ、提案された解決策も見つけました。ただし、そのKB 記事では、 Microsoft はセッション ID の再利用がどのように役立つかを説明しており、同じ記事ではセッション ID の再利用に関するリスクについては言及していません。セッション識別子 |にもあります。MSDNでは、SessionID 値以外のリスクは言及されておらず、Cookie または URL の一部としてクリア テキストで送信されます。
ここでの私の質問は、リスクは実際の脆弱性/セッション固定攻撃の可能性なのか、それとも誤検知のリスクなのかということです。
javascript - Facebook で XS Cookie を表示する
を使用して Cookie を表示できます
しかし問題は、すべての Cookie が表示されるわけではないことです。たとえば、Javascript を使用した XS Cookie など、特定の Cookie を読み取る方法はありますか? これと同じように動作するという概念を持つ必要があります。ありがとう。
asp.net - セッション Cookie ハイジャック
ASP.Net セッションを Cookie に保存します。
私の懸念: 同じクライアント コンピューターの他のユーザーがその Cookie にアクセスして、私のセッションを盗むことはできますか?
なぜ?
この質問は、PHP、Java、およびセッションを使用するすべての Web テクノロジに有効だと思います...