Session ID (Cookie) Hack
Arkadaşlar merhaba, bu konuda sizlere Session ID ile Oturum Ele Geçirme konusundan bahsedicem. Önceki konuda incelediğimiz kontrol adımlarından biri olan “Kullanıcı oturumu anahtarının kullanıcı bilgilerini her girdiğinde yenilenmesi doğrulanmalıdır.” adımı yerine getirilmezse, son kullanıcı için risk oluşturur. Elde edilecek Session ID bilgisi bir cookie editör yardımıyla kulllanılarak hedef kullanıcının oturumuna geçiş yapılabilir.
Firefox Cookie Editör : https://addons.mozilla.org/tr/firefox/addon/cookie-editor/
Bu konunun uygulamasını http://testasp.vulnweb.com/ sitesi üzerinden göstericem. Öncelikle 2 farklı browserden girerek “ahmet” ve “birkan” şeklinde 2 hesap oluşturuyorum.
2 üyelik oluşturuldu
2 kullanıcınında oturum id lerinin farklı olduğunu görüyoruz
ahmet kullanıcısının oturum id si birkan kullanıcısının browserine kaydedildi
ahmet kullanıcısının oturum id si birkan kullanıcısının browserine kaydedilip, sayfa yenilendiği zaman, birkan kullanıcısının yerinede ahmet kullanıcısına geçiş yapılmış oluyor.
Kaynak:Beyaz Hacker Pc Dünyası
Arkadaşlar merhaba, bu konuda sizlere Session ID ile Oturum Ele Geçirme konusundan bahsedicem. Önceki konuda incelediğimiz kontrol adımlarından biri olan “Kullanıcı oturumu anahtarının kullanıcı bilgilerini her girdiğinde yenilenmesi doğrulanmalıdır.” adımı yerine getirilmezse, son kullanıcı için risk oluşturur. Elde edilecek Session ID bilgisi bir cookie editör yardımıyla kulllanılarak hedef kullanıcının oturumuna geçiş yapılabilir.
Firefox Cookie Editör : https://addons.mozilla.org/tr/firefox/addon/cookie-editor/
Bu konunun uygulamasını http://testasp.vulnweb.com/ sitesi üzerinden göstericem. Öncelikle 2 farklı browserden girerek “ahmet” ve “birkan” şeklinde 2 hesap oluşturuyorum.
2 üyelik oluşturuldu
2 kullanıcınında oturum id lerinin farklı olduğunu görüyoruz
ahmet kullanıcısının oturum id si birkan kullanıcısının browserine kaydedildi
ahmet kullanıcısının oturum id si birkan kullanıcısının browserine kaydedilip, sayfa yenilendiği zaman, birkan kullanıcısının yerinede ahmet kullanıcısına geçiş yapılmış oluyor.
Kaynak:Beyaz Hacker Pc Dünyası