שאלה על אבטחת קוקיז - הוסטס

daMn · 07-07-09, 16:38

אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה.
הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ.

nbiwy · 08-07-09, 01:42

לא מומלצת להסתמך על עוגיות באתרים שההתחברות אליהם היא קריטית, לדוגמא, אתרי מכירה.
בכל מקרה לקלט של עוגיה יש להתייחס ככל קלט שמגיע ממקור חיצוני - בחשדנות יתרה.

stel222 · 08-07-09, 02:25

ציטוט:

נכתב במקור על ידי daMn

אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה.
הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ.

ואם הוא עורך ?
הרי בכל עמוד יש אימות שהשם משתמש והסיסמה בעוגיה באמת שווים אם לא שווים אז מחזיר שקר ככה בכל דף.
הוא יכול לערוך כמה שבא לו ברגע שהוא ערך זה לא יעבוד לו כי הפרטים לא יהיו נכונים

nbiwy · 08-07-09, 03:22

כשאתה מבצע חיבור למקומות קריטיים ולא איזה אתר דמיקולו שבנית לתומך, הסתמכות על עוגיות מסוכנת מכיוון שאפשר לגנוב אותם.
יכול לקרות מצב שמשתמש מתחבר ממקום ציבורי ושוכח להתנתק, הבאים אחריו יכולים להתחבר בשמו ולבצע פעולות בחשבון המשתמש שלו.
יותר מזה, הם יכולים להעתיק את העוגיה ולשתול אותה במחשבם האישי ולהתחבר למשתמש הזה מכל מקום.
פירצת SSH מכיוון בלתי צפוי פתאום מעמידה את האתר שלך בסכנה.
אפשר למצוא עוד המון סיטואציות.
וכל זאת מבלי להזכיר שעוגיה היא קלט שמגיע ממקור חיצוני ואפשר להכניס בה תווים לא חוקיים ולנצל פרצות אבטחה באתר.
כמו כן, יש לזכור להצפין כל מידע חשוב ששמור בעוגיה.

שיהיה בהצלחה

07-07-09, 16:38	# 1
daMn הוסטסניון מיני פרופיל תאריך הצטרפות: Mar 2007 גיל: 34 הודעות: 2,050	אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה. הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ. __________________ "חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." (אריק ס. ריימונד)


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

08-07-09, 01:42	# 2
nbiwy חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2008 הודעות: 99	לא מומלצת להסתמך על עוגיות באתרים שההתחברות אליהם היא קריטית, לדוגמא, אתרי מכירה. בכל מקרה לקלט של עוגיה יש להתייחס ככל קלט שמגיע ממקור חיצוני - בחשדנות יתרה.

08-07-09, 03:22	# 4
nbiwy חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2008 הודעות: 99	כשאתה מבצע חיבור למקומות קריטיים ולא איזה אתר דמיקולו שבנית לתומך, הסתמכות על עוגיות מסוכנת מכיוון שאפשר לגנוב אותם. יכול לקרות מצב שמשתמש מתחבר ממקום ציבורי ושוכח להתנתק, הבאים אחריו יכולים להתחבר בשמו ולבצע פעולות בחשבון המשתמש שלו. יותר מזה, הם יכולים להעתיק את העוגיה ולשתול אותה במחשבם האישי ולהתחבר למשתמש הזה מכל מקום. פירצת SSH מכיוון בלתי צפוי פתאום מעמידה את האתר שלך בסכנה. אפשר למצוא עוד המון סיטואציות. וכל זאת מבלי להזכיר שעוגיה היא קלט שמגיע ממקור חיצוני ואפשר להכניס בה תווים לא חוקיים ולנצל פרצות אבטחה באתר. כמו כן, יש לזכור להצפין כל מידע חשוב ששמור בעוגיה. שיהיה בהצלחה

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)