Preguntas con etiqueta 'session-management'

1
respuesta

Número de ID de sesión repetido en mac

He ejecutado una prueba de penetración en un servidor web. Para generar ID de sesión con este script Bash: #! /bin/bash NUMBEROFSESSIONS=3000 for i in $(seq 1 ${NUMBEROFSESSIONS}) do curl -s -c cookie 'URL' 1> /dev/null # URL is the address...
hecha 29.10.2013 - 17:42
2
respuestas

mitigación de secuestro de sesión

Me gustaría reducir la probabilidad de secuestro de sesión implementando una solución de token basada en cookies. La idea es generar un hash SHA256 basado en información relacionada con el cliente, como: PHP $_SERVER['HTTP_USER_AGENT']...
hecha 16.04.2017 - 18:29
2
respuestas

¿El cifrado de una clave (almacenada en una cookie) aumenta la seguridad?

Escenario La clave maestra se ingresa al iniciar sesión y luego se cifra con $server_key La clave maestra ahora se almacena como $_COOKIE['encrypted_key'] variable para la persistencia (por lo que el usuario no tiene que ingr...
hecha 12.09.2016 - 00:54
2
respuestas

¿Cómo invalidar una sesión en el cierre del navegador?

Tengo una aplicación web donde la sesión web debe caducar después de un período de tiempo estipulado. Sin embargo, capturar un evento de cierre del navegador no es una buena idea para invalidar una sesión de usuario. ¿Cuál puede ser una soluc...
hecha 26.09.2012 - 13:39
5
respuestas

Luchando para demostrar / explotar un secuestro de sesión básico

Como parte de algunas pruebas de lápiz básicas que me invitaron a hacer en un sitio en vivo, logré acceder a las cookies de otros usuarios. Lo primero que me viene a la mente que podría usarse para demostrar el alcance de esta vulnerabilidad...
hecha 15.11.2016 - 15:13
3
respuestas

¿Por qué una cookie no persiste en diferentes máquinas?

Estoy ejecutando Chrome con un --user-data-dir específico en almacenamiento extraíble que me permite mantener una única sesión del navegador en diferentes máquinas a lo largo del día (historial, marcadores, extensiones, etc.) Sin embar...
hecha 02.02.2017 - 02:31
2
respuestas

¿Impedir el secuestro de sesión en el servicio de blog?

Tengo un servicio donde los webmasters pueden crear un sitio web (incluido el uso de javascript). Un usuario puede colocar un comentario en el sitio web de un webmaster. Un usuario solo necesita registrarse e iniciar sesión una vez y puede...
hecha 05.12.2016 - 14:57
1
respuesta

¿Cómo asegurar la tabla de datos de sesión web basada en MySQL?

Tengo el siguiente esquema de sesión de MySQL: CREATE TABLE 'SessionData' ( 'id' varchar(50) COLLATE utf8_unicode_ci NOT NULL, 'data' text COLLATE utf8_unicode_ci, 'date' datetime DEFAULT NULL, PRIMARY KEY ('id'), KEY 'date' ('date')...
hecha 17.07.2012 - 19:47
1
respuesta

¿Puedo almacenar de forma segura el hash (sessionId) en los registros de la aplicación?

Estoy considerando almacenar un hash del ID de sesión de un usuario en nuestros registros de aplicaciones en cada solicitud. Esto permitiría que las sesiones de los usuarios se rastrearan fácilmente a las acciones en nuestros registros. Entie...
hecha 26.08.2015 - 16:47
1
respuesta

¿Es seguro almacenar el token de restablecimiento de la contraseña en la sesión de PHP?

Tengo un sistema de inicio de sesión creado en PHP. Actualmente no tiene la función "Olvidé mi contraseña" y me gustaría implementar la función. Para esto estoy planeando hacer lo siguiente: Cuando el usuario envía el formulario con el co...
hecha 18.03.2014 - 16:32