1. Introdução
A fixação de sessão é uma técnica que permite que hackers sequestrem a sessão de um usuário. Essa técnica aproveita o fato de que o servidor não altera o valor do ID da sessão toda vez que o usuário efetua login, mas usa um ID de sessão pré-existente. O processo de ataque inclui a obtenção de um ID de sessão válido (possivelmente acessando o site ), em seguida, encontrar uma maneira de a vítima fazer login no site com esse ID de sessão e, finalmente, quando a vítima fizer login com sucesso, o hacker navegará o site com sua conta. O cenário específico é o seguinte:
Mallory encontra um site, como http://unsafe.example.com, que aceita qualquer ID de sessão da solicitação sem autenticação.
Mallory enviará um e-mail para Alice, que contém o link http://unsafe.example.com/?SID=1234.
Alice vai para http://unsafe.example.com/?SID=1234. Em seguida, faça login no site.
Mallory simplesmente acessa http://unsafe.example.com/?SID=1234 e usa o site com a conta de Alice.
Mallory pode usar os seguintes métodos para definir cookies para Alice:
Inclua um script para definir cookies
Enviar pacote de resposta HTTP com valor de cookie MalloryEnviar pacote de resposta HTTP com valor de cookie Mallory
Use metatags HTML:
2. Exemplos
Exemplo 1 – Script do lado do cliente
Semelhante ao cenário mencionado acima, porém, neste caso, o ID da sessão não é passado na URL, mas sim no cookie. Para editar o valor do ID da sessão no cookie da vítima, o hacker irá inserir um pedaço de Javascript:
http://website.kom/document.cookie=”sessionid=abcd”;
Exemplo 2 - etiqueta
Semelhante ao script do lado do cliente, mas desta vez o hacker inserirá tags adicionais:
http://website.kon/
Exemplo 3 – resposta do cabeçalho HTTP
A inserção do ID de sessão também pode ser feita interceptando pacotes trocados entre o cliente e a aplicação Web e, em seguida, inserindo o campo Set-Cookie no cabeçalho.
3. Como prevenir
A causa desse erro é porque o servidor não gera novamente o ID da sessão após cada login bem-sucedido. Portanto, consertar esse erro não é difícil, basta alterar o valor do ID da Sessão e pronto. Em PHP, usamos a função session_regenerate_id() para regenerar a sessão.
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
