Preguntas con etiqueta 'session-fixation'

preguntas con etiqueta
1
respuesta

Me registré como otro usuario en un sitio, ¿cómo?

Sucedió el año pasado, pero todavía me pregunto hasta hoy. Estaba buscando cupones para el sitio Alltrails. Tenía una cuenta gratuita y quería obtener una cuenta Pro. Abrí al azar muchos resultados de búsqueda, pero no pude encontrar un cupón. A...
hecha 12.03.2018 - 21:21
1
respuesta

Fijación de sesión OpenID con CSRF

Esta respuesta describe una situación en la que se puede usar CSRF para engañar a un usuario final para que ingrese una tarjeta de crédito en la cuenta de Paypal de otra persona. También destaca el hecho de que las solicitudes GET que cambian...
hecha 08.11.2011 - 17:50
2
respuestas

Comparando el secuestro de sesión, la fijación y el montar

¿Cómo puedo diferenciar entre estos secuestro de sesión / fijación de sesión / montar sesión? Me resulta difícil de entender cuando leo sobre los tres al mismo tiempo. Me da mucha confusión al comparar Hijacking con Fixation porque hay una espec...
hecha 03.10.2016 - 22:09
2
respuestas

fijación de sesión HTTP

Según wikipedia , Mallory, el atacante, obtiene su propio SID y luego obliga a Alice a visitar un sitio con el SID. ¿Por qué Mallory no tomaría el SID de Alice, si pudiera MITM Mallory? Además, ¿este ataque sin MITM solo es susceptible de SID e...
hecha 20.07.2016 - 20:48
2
respuestas

¿Cómo evitar la fijación de sesión (CSRF de inicio de sesión) por el ataque MitM sin HSTS?

Estoy escribiendo una aplicación web que ya usa conexiones cifradas TLS (HTTPS), cookie de sesión Secure; HttpOnly , token CSRF HMAC-SHA1, requiere el encabezado Referer correcto para evitar el inicio de sesión CSRF y cambia la iden...
hecha 03.09.2014 - 10:36
2
respuestas

Explotación de una vulnerabilidad potencial de fijación de sesión de la aplicación web ASP.NET

Estoy probando con lápiz una aplicación ASP.NET que muestra un comportamiento de Fijación de sesión . La aplicación está utilizando sesiones basadas en cookies . Básicamente: Cuando llegas a la página, no se crea una cookie de sesión Des...
hecha 26.02.2015 - 10:13
2
respuestas

¿Se pueden manejar las sesiones de forma segura con las cookies deshabilitadas?

He estado leyendo un poco aquí sobre el manejo de ID de sesión, y he aprendido que generalmente es una mala idea incluir un ID de sesión en el código fuente HTML y / o en la cadena de consulta. Por ejemplo, ¿Es correcto usar el formulario? camp...
hecha 30.01.2014 - 19:16
1
respuesta

Javascript http a https redirect - ¿qué tan vulnerable / seguro está? [duplicar]

Si tuviera un sitio web enlace que redireccionara a enlace a través de javascript (con un HTTP/1.1 403 Forbidden ), ¿cuáles son los vectores de ataque que podrían ser vulnerables también? ¿Por qué esto no es una buena práctica? (y...
hecha 08.01.2014 - 18:05
2
respuestas

Gestión de sesión: ¿Son suficientes las características del servidor de aplicaciones?

HTTP es un protocolo sin estado. Sin embargo, cuando el usuario inicia sesión en una aplicación web, le gusta que se conserve cierta información de la sesión, de modo que no tenga que iniciar sesión nuevamente cuando quiera ir y venir entre las...
hecha 25.07.2012 - 14:56
1
respuesta

Medida preventiva para detectar ataques de fijación de sesión

A mi entender, si no me equivoco en los ataques de fijación de sesión. El atacante inicia sesión en el servidor como un usuario legítimo y crea una sesión válida. A continuación, le indica al usuario comprometido que utilice su sesión que ya se...
hecha 16.06.2013 - 12:31