¿Por qué no puedo omitir la autenticación del usuario copiando cookies?

0

Me estoy confundiendo con un proceso de autenticación de cookies del sitio web. Capturé los paquetes que salían del sitio web y vi que se enviaba la cookie. Copié todo el contenido de las cookies del sitio web, creé la misma cookie en una máquina diferente y cargué el sitio web, pero no pude iniciar sesión.

¿Cómo me identifica el servidor? No vi nada importante enviado en la captura de paquetes.

    
pregunta Jeevansai Jinne 26.01.2017 - 12:44
fuente

1 respuesta

5

El sitio probablemente esté protegiendo contra el secuestro de sesiones mediante el uso de algún tipo de heurística para adivinar que no eres el mismo usuario, por ejemplo:

  • IP
  • Geolocalización (de IP)
  • agente de usuario

Todos estos son imperfectos en el sentido de que se pueden omitir. Algunos también pueden filtrar a usuarios legítimos. Sin saber cómo está configurado el servidor, solo puede adivinar e investigar con prueba y error. Intente enviar exactamente la misma solicitud HTTP desde una máquina con la misma IP externa y vea qué sucede.

Otras posibilidades son que eligió la cookie equivocada, perdió alguna otra característica de seguridad que debe incluirse (por ejemplo, encabezados CSRF), o que la sesión simplemente expiró.

    
respondido por el Anders 26.01.2017 - 13:04
fuente

Lea otras preguntas en las etiquetas