Identificar, analizar y predecir cookies de sesión débiles

8

Para profundizar en esto, estoy viendo esto desde la perspectiva de un hacker / probador de penetración. Muchas veces he visto aplicaciones web que sé que tienen cookies débiles. Puedo decir esto porque puedo emitir cientos / miles de solicitudes de inicio de sesión y las cookies de sesión con las que responde el servidor tendrán patrones notables en ellas. Por ejemplo, algunas cookies de sesión tendrán caracteres repetidos presentes en todas las cookies de sesión (por ejemplo, los primeros 6 caracteres de una cookie de sesión de 13 caracteres son todos iguales). Otros se generan en función del tiempo, por lo que si emito varias solicitudes de inicio de sesión al mismo tiempo, el servidor responderá con la misma cookie de sesión (suponiendo que el servidor genere la cookie en función del segundo / minuto).

Aunque estos tipos de patrones son fácilmente perceptibles, sé que algunos patrones no son tan fáciles de ver para los humanos.

Así que mis dos preguntas:

1) ¿Qué métodos y herramientas existen para determinar la potencia de una cookie?

2) Una vez que se ha identificado una cookie de sesión débil, ¿cómo se podría analizar y aplicar ingeniería inversa el algoritmo de generación de cookies de sesión? (Teniendo en cuenta que el objetivo final aquí es poder predecir las cookies de sesión)

    
pregunta tifkin 27.10.2012 - 04:16
fuente

1 respuesta

4

Burp tiene una herramienta de análisis de id de sesión , pero Seré honesto, su salida no tiene ningún sentido y, como comprobador de penetración, esta función nunca ha llevado a un descubrimiento ...

Si audito un controlador de sesión, miraré su código fuente y lo juzgaré por la fuente de entropía que esté usando.

En una evaluación de blabkbox, si el ID de sesión no cambia cuando se autentica varias veces, es posible que la aplicación esté utilizando el hash de contraseña como el ID de sesión. El desarrollador que escribió esta basura debe ser despedido, no hay excusa para este grado de incompetencia. (Wordpress, te estoy mirando)

    
respondido por el rook 27.10.2012 - 04:53
fuente

Lea otras preguntas en las etiquetas