問題タブ [session-hijacking]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - ブラウザを単独で開くよりも、開いているブラウザ セッションをハイジャックして Webdriver にアタッチするにはどうすればよいですか
Selenium webDriver を使用する場合、常にドライバーを起動してブラウザーを開き、フロー全体をナビゲートして何かを検証する必要があり、例外のスローに失敗した場合は、多くの時間を費やして同じことを行う必要があります。
別のブラウザー セッションを開いたままにし、開いたセッションに webdriver を接続して作業させることを常に考えていたので、フローを通過する必要がなくなりました。
Javaを使用して、Selenium Webdriverでこれを行う方法を知っている人はいますか?
ありがとう
php - セッションハイジャック?X-Forwarded-For、ログインと後続のリクエストで異なる
ユーザーが Web アプリケーションにログインすると、3 つの値が取得され、セッション状態に保存されます。
ログイン中、http-x-forwarded-for の値は空です。ログ ファイルは、ユーザーがホームページを評価すると、http-x-forwarded-for に 10.0.0.45 のような新しい値があることを示しています。これはどういう意味ですか?
セッションを終了する必要がありますか? または空のページをクライアントにロードするだけですか?これはある種の乗っ取りですか?
javascript - JavaScript を使用して偶発的なセッション ハイジャックを防止する
わかりました、これはばかげた質問のように聞こえるかもしれませんが、これは実際に私が解決しなければならない現実の状況です.
私が働いている会社は、会社のサーバーでホストされているかなり時代遅れのオンライン ショップ ソフトウェア (PHP) を使用しています。残念ながら、ソース コードは暗号化されており、CMS では PHP コードを追加することも許可されていません。
大規模なセールが始まり、人々が YouTube や Twitter などでリンクを共有し始めたとしましょう。前世紀のどこかでソフトウェアが作成されたため、一部のリンクにはセッション ID が含まれていますが、これは間違いなく一部のユーザーによって共有されます。ただし、これにより、複数のユーザーが同じ顧客アカウントで注文するか、さらに悪いことに、既存の顧客アカウントが新しい顧客データで上書きされます。
この状況が理想からかけ離れていること、ソフトウェアの更新が確実に必要であることはわかっていますが、現時点ではこれはオプションではありません。また、100% の解決策が得られていないこともわかっているので、人々が誤って顧客データを壊してしまわないようにするつもりです。
悲しいことに、セッション ID の URL を確認し、document.referrer の値も確認することにしました。URL にセッション ID が含まれていて、リファラーが当社以外のサーバーである場合は、メインのランディング ページに簡単にリダイレクトします。繰り返しますが、これは、平均的なユーザーが不適切なリンクをクリックして誤って他のユーザーのアカウントにログインするのを防ぐためのものです。ここでは、適切なセッション ハイジャックを防止しようとしているわけではありません。
これに関するアイデアはありますか?ブラウザがリファラーをまったく送信しないなど、リファラーに実際の値が含まれていない可能性がある状況はありますか? JavaScript のみを使用してこれを整理する他の方法はありますか?
session - セッションまたは仮想サーバーで作成された Cookie を介してログインします
システムにログインすると、ログインしているユーザーを追跡するために何らかのタイプのセッションまたは Cookie が作成され、その後の処理はセッション ID または Cookie に基づいて行われます。
仮想サーバーからセッションまたは Cookie を取得し、他の場所またはブラウザーから Web サイトにアクセスすることは可能ですか?
例:- Web サイト abc.com のログイン資格情報を持っています。リモート サーバーでその Web サイトにログインし、リモート サーバー ブラウザーで Web サイトによって作成されたセッション ID または Cookie を取得します。次に、abc.com に再度ログインせずにそのセッション ID または Cookie に基づいて、すべての機能にアクセスできますか? それは可能ですか?はいの場合、どのように?
セッションハイジャックの一種である可能性がありますか?
注:ハッキング目的では必要ありません.:)
前もって感謝します。
php - PHPセッション変数の安全性
私は自分のウェブサイトにログインして自分のウェブサイトを管理できる管理パネルを持っています。ログイン認証には、ユーザー名とパスワードが dB に存在するかどうかを確認するコードを使用しています。存在する場合は、次のように変数を true にします: $_SESSION['admin_logged']= true ;
この道が安全かどうか知りたいです。セッション変数が盗まれたり、傍受されたりする可能性があるとどこかで聞いたことがあります。しかし、私はそれが何を意味するのか本当にわかりません。また、変数がサーバー側に保存されているときに、変数を盗むにはどうすればよいでしょうか? また、可能であれば、これを防ぐにはどうすればよいですか。事前にどうもありがとうございました。
php - 1 つのタブがログインしているときに他のタブで自動ログインする
よし、ローカルホストでセッション固定/ハイジャックをテストしようとしています。
SID を含む URL を攻撃者から被害者に提供し、被害者がその URL にログインできるようにしようとしています。しかし、被害者がログインすると、攻撃者はページを更新し、まだログイン ページにいます。
次に、ブラウザに 2 つのログイン タブがある場合、被害者はタブ 1 でログインしますが、タブ 2 は更新後に自動ログインしないことを発見しました。攻撃者がログイン ページにとどまっているのはおそらくそのためでしょうか。
私の質問は、ユーザーが 1 つのタブで既にログインしている場合、他のタブでユーザーを自動ログインさせるために、php ファイルで何をしなければならないかということです。 この種の場合、どのキーワードを参照すればよいですか?