Новый класс уязвимостей в веб-приложениях

19.12.2002 | 15:28
На сайте компании ACROS Security опубликована статья, описывающая новый тип атак на веб-ориентированные приложения, названный "session fixation"-атаками.

Многие веб-приложения используют различные механизмы управления сессиями для организации дружественной для пользователя среды. Сессии хранятся на сервере и ассоциируются с соответствующим пользователям с помощью идентификаторов сессий. Обычно идентификаторы сессий представляют собой большой интерес для злоумышленников, которые, заполучив их, могут эффективно подменять сеанс того или иного пользователя.

Разработчики веб-серверов, зная об этом, применяют различные технологии для защиты идентификаторов сессий от, как правило, трех видов атак: перехвата, предсказания и brute-force атак.

Данная статья описывает четвертый тип атак на идентификаторы сессий, названный авторами "session fixation"-атаками, при которых атакующий фиксирует идентификатор сессии пользователя перед тем, как последний войдет на сервер, избавляя таким образом от необходимости получения идентификатора в дальнейшем.

Текст статьи (англ.) - http://www.acros.si/papers/session_fixation.pdf.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.ntbugtraq.com
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код