Se pueden manipular los datos de la sesión sin acceso al código fuente

Question

Se pueden manipular los datos de la sesión sin acceso al código fuente

#1 de Daniel Paul (0 votos)
#2 de pacifist (0 votos)

0

Al implementar una aplicación basada en web, ¿qué tan seguras son las variables de sesión frente a la manipulación manual más allá del alcance de mi código?

es decir, cuando se autentica a un usuario, si tuviera que inicializar una variable de sesión authenticated como true , entonces puedo realizar una comprobación booleana simple contra la sesión y el estado autenticado del usuario, antes de realizar cualquier operación confidencial.

Sin embargo, ¿me sería posible inicializar una variable de sesión authenticated y establecer esto en true sin pasar realmente un control de seguridad? Esencialmente, ¿podría alguien engañar a mi aplicación para que piense que el usuario fue autenticado, cuando en realidad no lo están?

web-application authentication session-management

pregunta dsaa 28.04.2014 - 00:32

fuente

2 respuestas

0

sí, trivialmente. Si entendí correctamente, ¿la variable de sesión estará en los puntos enviados desde el lado del cliente?

Prueba con tamperdata.

respondido por el pacifist 28.04.2014 - 03:49

fuente

Lea otras preguntas en las etiquetas web-application authentication session-management

Libros recomendados para el sistema de operación de aprendizaje [cerrado] Router pirateado que falsifica una autoridad de certificación

score 0 · Accepted Answer

No directamente.

Los datos de la sesión se almacenan y se accede al servidor, el cliente solo tiene acceso a través de cualquier método de acceso externo que haya definido. Todo lo que se almacena en el cliente es la clave de sesión, que es el punto de vulnerabilidad. A mi entender, la mayoría de los ataques en las sesiones implican obtener la clave de sesión de otros usuarios y avanzar desde allí. La herramienta principal para evitar esto es implementar sll / https, preferiblemente en toda la aplicación web.

Por supuesto, esto supone que su aplicación web está configurada de manera segura, recuerde que un usuario con las herramientas correctas puede ingresar cualquier forma / ajax / datos SOAP que desee, y no está limitado por la interfaz y el código de cliente que ha creado.