Preguntas con etiqueta 'session-fixation'

preguntas con etiqueta
2
respuestas

Colocar la dirección IP en el token web JSON o la cookie de sesión

Soy relativamente nuevo en seguridad y busco evitar los inicios de sesión de fuerza bruta en una aplicación web que estoy creando. Después de investigar un poco, decidí exigir un captcha después de que un usuario intente demasiados inicios de...
hecha 02.06.2017 - 20:44
1
respuesta

¿Cómo proteger el ID de sesión?

En los últimos días he estado leyendo un poco sobre los ID de sesión y los métodos adoptados para evitar que las personas los intercepten y los utilicen para secuestrar una sesión. Por lo que he leído, al enviar el ID de sesión en una cookie...
hecha 15.06.2016 - 09:54
1
respuesta

Fijación de sesión: ¿es eso un problema aquí?

Alguien se me acercó y me dijo que no le asignara un nuevo ID de sesión al iniciar sesión correctamente. Básicamente me dijeron: el hecho de que use la misma cookie (con el mismo SID) en la página de inicio de sesión, así como la sesión autor...
hecha 16.03.2015 - 15:44
2
respuestas

Fijación de sesión usando XSS

¿Cuáles son las condiciones previas para realizar un ataque de reparación de sesión con XSS? es decir, en qué parámetro debe inyectarse el script para que establezca la cookie en el navegador. Saber condición: antes y después de iniciar...
hecha 15.03.2017 - 11:34
1
respuesta

¿se está restaurando la sesión de gmail desconectada en la instancia en ejecución del navegador Chromium?

Mi situación es: + He creado una cuenta de gmail de propósito especial + Utilicé una contraseña complicada para proteger la cuenta. A propósito, no utilicé ninguna de las opciones 2FA que son una dirección de correo electrónico o número de...
hecha 09.11.2018 - 10:41
1
respuesta

¿Hay algún beneficio para continuar enviando UN / PW al servidor a través del ID de sesión (es decir, sin estado frente a estado)

Estaba leyendo esta pregunta sobre la sesión Secuestro de ID y dio muchas respuestas sobre el robo de identificadores de sesión. He estado pensando en esto por un tiempo, pero ¿hay algún beneficio en usar los identificadores de sesión al vo...
hecha 25.10.2016 - 20:06
2
respuestas

fuerza de ID de sesión de ASP.NET

Después de leer this y this , me pregunto si se considera seguro usar el ID de sesión ASP.NET predeterminado como un medio para autenticar al usuario. Sé que sería mejor implementar ASP.Identity, que tiene una cookie 'fedAuth' mucho más larga...
hecha 29.06.2015 - 14:43
3
respuestas

Fijación de sesión: configuración de ruta a raíz sin /

He encontrado una vulnerabilidad XSS en el subdominio de un sitio que estoy probando, y al usarlo puedo configurar cookies tanto para el sitio principal como para todos sus subdominios. Mi url actualmente tiene este aspecto: http://s1.examp...
hecha 06.08.2014 - 22:57
0
respuestas

Rotar nombres de sesión frente a un nombre de sesión estático con una cadena de validación rotativa

Estoy creando mi propia biblioteca de administración de sesiones en el lenguaje de programación Go y tuve una idea interesante para ahorrar memoria. Creé algo llamado supervisor que busca sesiones caducadas y abandonadas y las borro de la memori...
hecha 31.10.2018 - 02:08
1
respuesta

problema de sesión HTTP inseguro

Una aplicación basada en java soporta dos roles de usuario. Admin y nonAdmin. Inicie sesión como administrador, el navegador obtiene el ID de JSESSION. Inicie sesión como usuario no administrador desde otra máquina. El navegador obtiene ot...
hecha 24.09.2016 - 20:01