¿Por qué las cookies de sesión de Sniff cuando UN / PW también debería estar disponible?

4

Recientemente he estado leyendo sobre cookies de sesión y sobre cómo pueden ser secuestrados a través de ataques de intermediario. Parece que esto es principalmente posible en una conexión no cifrada entre un cliente y un servidor web.

Sin embargo, no puedo entender por qué, si uno ya está "en medio" de una conexión no cifrada, preferiría capturar la cookie en lugar del nombre de usuario & contraseña que también debe enviarse en texto sin formato?

    
pregunta Abhi 30.10.2014 - 08:48
fuente

2 respuestas

8

Hay 2 razones principales por las que las cookies son más fáciles de robar que las credenciales de inicio de sesión:

Las cookies se envían para cada solicitud, las credenciales de inicio de sesión solo se envían una vez para cada "sesión"

Si huele una red, es menos probable que esté en el lugar en el que un usuario realice un inicio de sesión con su nombre de usuario y contraseña.

Por otra parte, las cookies se envían para cada solicitud al servidor web. Es más probable que pueda capturar una cookie de sesión que una autenticación de nombre de usuario / contraseña.

Es difícil predecir qué parámetros GET / POST que contienen las credenciales de inicio de sesión

Detectar las credenciales de autenticación reales en la web puede ser un poco complicado. Esto se debe a que virtualmente cada aplicación web tiene su propia forma de hacerlo. Es difícil anticipar todas las distintas URL de autenticación.

Por ejemplo:

GET /login?username=dogeatcatworld&password=letmein
GET /auth?u=dogeatcatworld&p=letmein
GET /auth?auth=<base64encoded credentials>

Las cookies, por otra parte, siempre existen en el encabezado HTTP, y es trivial extraerlas de las solicitudes.

    
respondido por el Dog eat cat world 30.10.2014 - 09:28
fuente
3

Si el nombre de usuario y la contraseña se enviaron en texto sin formato, entonces sí, olerlos es una mejor opción.

Sin embargo, un patrón común es que el proceso de inicio de sesión esté cifrado (por seguridad), y luego el resto de la sesión se realiza de forma clara (porque el cifrado impone un poco la penalización de rendimiento). En tal caso, el nombre de usuario y la contraseña no se pueden capturar, pero la cookie de sesión, que se está transmitiendo de manera clara, sí puede.

    
respondido por el Mark 30.10.2014 - 09:26
fuente

Lea otras preguntas en las etiquetas