InsideDarkWeb.com

Хакер получил ID сессии через куки , что он может сделать?

Как хакер может получить данные куки и что он может сделать имея ключ сессии? Какая разница куки или сессия если есть возможность украсть куки а затем использовать id сессии и получить необходимые данные?

2 Answers

Хакер может, например, прослушать сеть, притвориться на время сервером.

Имея ключ сессии, можно делать то, что может делать пользователь.

Куки можно использовать для хранения ключа сессии.

Eсли данные хранить в куки они будут балтаться туда-сюда по сети, если в сессии на сервере -- лежать на сервере. У ключа объем меньше.

Ключ сессии может быть и не в куки, а в sessionStorage, например.

Answered by Sergei Kirjanov on January 11, 2021

Приведу отрывок из статьи.

Куки используются в HTTP для аутентификации сессий, чтобы распознать конкретного юзера в общей массе. Однако куки не гарантируют совершенно никакой безопасности, потому что создавались не для этого и передаются по Сети в открытом виде. Кто угодно может взять чужие куки и залогиниться под чужим аккаунтом, даже не зная пароля. Существует масса простых утилит для перехвата чужих куки в открытых сетях, например в бесплатном Wi-Fi-хотспоте (взять хотя бы Firesheep и DroidSheep).

Answered by Aziz Umarov on January 11, 2021

Add your own answers!

Related Questions

Ask a Question

Get help from others!

© 2021 InsideDarkWeb.com. All rights reserved.