使用firefox:我用ZAP代理的有效凭据进行身份验证,我捕获了302响应代码和有效的cookie。
使用Chrome:我提供错误的凭据,并用包含有效捕获的cookie的捕获的302响应替换响应。我现在可以登录到应用程序。
这个发现 frese -haster 案例是否?
如果不是,那么解决此问题的缓解将是什么。
建议:
应验证多个浏览器和多个机器中的多个用户登录。如果匹配,请使现有的cookie无效,并使用户再次验证。
我是渗透测试仪,没有应用程序代码。
如果不提供有效的凭据。
请记住,如果您窃取了会话cookie,就像您被盗了有效的凭据一样。您早些时候给出错误的凭据不在乎 - 只要您拥有有效的会话cookie,就与您有有效的钥匙到门的相同 - 您可以输入。
可以吗?这取决于。首先,这取决于会话cookie。如果它具有httponly和安全标志,并且通过SSL(HTTPS(发送整个通信,我们可以假设此cookie是安全的,因为从理论上讲,只能在服务器和发送设备上仅通过浏览器访问它。唯一可能被盗的情况(从理论上(就像您一样 - 有人可以访问登录设备并窃取它。这是Anty病毒软件,用户等的问题,可以保护该PC,而不是预防此类偷窃的测试系统。
另一方面 - 如果系统存储一些关键数据,则不仅应通过cookie来验证用户。它还应该检查是否从与cookie关联的浏览器相同的浏览器发送请求,具有相同的IP等。请记住,这些数据仍然可以被篡改。
会议饼干就像是门的钥匙 - 如果有人拿到你的,他可以进入建筑物。这里的问题不是一个事实,即有效的密钥允许使用它的任何人输入,而是该密钥允许打开的事实。这取决于他的进入。如果钥匙允许进入自行车储物柜或厕所的入口 - 不,它已经足够固定 - 只要您不允许任何人拥有您的钥匙(或窃取饼干(的好处。但是,如果此密钥允许用户输入银行保险库 - 这是一个很大的安全问题,因为输入保险库不仅应该依赖有效的密钥,还应依靠其他类型的人验证(例如指纹或眼睛扫描仪(。
。因此,在不知道应用程序上下文的情况下,很难回答您的问题。我希望我正确地向您解释了