Número de ID de sesión repetido en mac

Question

Número de ID de sesión repetido en mac

#1 de Link (1 votos)

4

He ejecutado una prueba de penetración en un servidor web. Para generar ID de sesión con este script Bash:

#! /bin/bash
NUMBEROFSESSIONS=3000
for i in $(seq 1 ${NUMBEROFSESSIONS})
do
curl -s -c cookie 'URL' 1> /dev/null # URL is the address of my server
cat cookie | grep HttpOnly >> sessionIDs.lst
done

Cuando esta prueba se ejecuta en una máquina con Linux, el ID de sesión no se repite, pero en Mac obtengo algunos ID repetidos.

¿Alguien sabe por qué?

Para verificar las identificaciones repetidas que hago:

wc -l sessionIDs.lst; cat sessionIDs.lst | uniq |wc -l

web-application penetration-test session-management

pregunta user2933032 29.10.2013 - 17:42

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application penetration-test session-management

¿Qué tipo de información debe mostrarse a un usuario final para obtener un resumen de la sesión de inicio de sesión? Administrar e implementar contraseñas de aplicaciones web

score 1 · Answer 1

Es difícil decir la razón exacta, especialmente si se trata de una prueba de caja negra y no tiene acceso al código fuente. La generación y administración de sesiones normalmente se deben manejar en el lado del servidor, por lo que la repetición en Mac, desde mi punto de vista, podría significar una de dos cosas.

Podría ser pura coincidencia
La generación de ID de sesión depende del lado del cliente

El segundo podría significar una falla en la generación de id de sesión. Puede realizar una comprobación exhaustiva de los scripts en el lado del cliente para ver si el cliente podría influir en el ID de sesión.

Para ids de sesión de pentesting, puedo sugerir que simplemente haga una prueba de entropía. La entropía recomendada es de al menos 128 bits. A juzgar por su secuencia de comandos, puede enviar fácilmente la solicitud http al secuenciador de eructos y ejecutar una prueba de entropía con 20,000 como tamaño de muestra.