რა არის სუსტი აუთინთირება და სესიების მართვა

ხშირად პროგრამებში აუთინთერობის და სესიების მართვის ფუნქციები არა სცორად არის პროგრამირებული, რაც ჰაკერებს საშუალებას აძლევს რომ მიწვდეს პაროლებს, კრიპტოგრაფიულ გასაღებებს, სესიის ჟეტონს, ან სხვა სისუსტე გამოიყენოს რომ სხვა მომხმარებლის პოროვნება მიითვისოს.

ყველაზე გავრცელებული სისუსტე რომელსაც მოაქვს აუთინთირების პრობლემა და სესიების მართვა არის სესიების ID-ების სუსტად დაცვა. ისინი ან არ არიან დაცულნი SSL/TLS-ით, ან შენახული არიან კრიპტოგრაფიის გამოყენების გარეშე, ან მათი გამოჩენა შეიძლება URL rewriting-ით. ზოგჯერ სესიის ID არის მომხმარებლის პაროლი ჰეშირებულები MD5-ით ან SHA1-ით. ამ შემთხვევაში ჰაკერს შეუძლია რომ Man in the Middle ტაქტიკა გამოიყენოს სესიის ID-ის ხელში ჩასაგდებად ან XSS-ით ქნას ეს. ამისთვის შეგიძლია იხმარო Firefox-ის მოდული HackBar.

HackBar

HackBar არის Firefox-ის მოდული. HackBar-ის დაყენების შემდეგ დააჭირე F9-ს რომ HackBar-ი გამოჩდეს, შემდეგ შეარჩიე “Encryption”, მერე კი მენიუ “MD5” ან “SHA1”, და ბოლოს “Send to”, რაც აჩვენებს რეზულტატს თუ რაიმე გამოგივიდა.

XSS-ის და SQL ინექციის შემოწმების გარდა, HackBar-ი პრაქტიკულია URL-ებბის კოდირებისთვის Base64-ში ან hex-ში.

ქსელი/http/სუსტი_აუთინთირება.txt · Last modified: 2012/06/27 13:21 by dzvelivereli
Back to top
Public Domain
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0