13.03.2013, 03:02
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
Сообщение от Groove
Как пользоваться
PHPSESSID session fixation
дайте ссылку на топ
Возможный путь использования XSS:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]Нахождение XSS
[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]Впаривание XSS
[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]Получение PHPSESSID
[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]Заход под PHPSESSID
[/COLOR][/COLOR]
PHPSESSID session fixation:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]Создание своего уже[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]известного PHPSESSID
[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]Установка этого PHPSESSID у удаленого человека[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]Впаривание[/COLOR][COLOR="#007700"])
-[/COLOR][COLOR="#0000BB"]Он авторизуется по этим PHPSESSID
[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]Мы заходим под уже известным PHPSESSID
[/COLOR][/COLOR]
Может использоваться как альтернатива кражи куков в некоторых случаях, при впаривани методом соц. инженерии, при отправке скомпрометированного ответа сервером.
Установка PHPSESSID может быть в параметрах методом GET, а не только через куки.
http://www.acros.si/papers/session_fixation.pdf
|
|
|