آیا در صورت انتقال شناسه جلسه در عنوان درخواست ، می توان حمله تثبیت جلسه با XSS موجود را انجام داد؟ تا آنجا که من آن را می بینم ، از نظر تئوری سه روش برای انجام این کار وجود دارد: درخواست رهگیری در ورود به سیستم ، شناسه جلسه جایگزین (هیچ روش ارتباطی با…
شناسه جلسه
برای برنامه من از redis به عنوان یک فروشگاه جلسه استفاده می کنم. آیا می توان شناسه جلسه را بدون استفاده از عملکرد هش ذخیره کرد؟ اگر من باید از یک تابع هش استفاده کنم ، مشتری کوکی را با شناسه خام یا برنامه جلسه hashed دریافت می کند؟
بقیه – امنیت دسترسی به API. اعتبار اعتبار مشتری در مقابل شناسه مشتری و راز
من یک API REST دارم که توسط دیگر سرورهای شخص ثالث خارجی از طریق اینترنت فراخوانی می شود و فقط برای ارتباطات دستگاه به ماشین استفاده می شود. من به دنبال مکانیسم هایی برای تأمین امنیت این API هستم که فقط سرورهایی که من تعیین می کنم مجاز به استفاده از این API باشند. من…
کوکی ها – خطرات امنیتی سرقت شناسه جلسه در مقابل تأیید هویت توکن
من از بحث درباره این سؤال SO و همچنین پست وبلاگ همراه من را تحت تأثیر قرار داد. من در حال تلاش برای درک بهتر مکانیک این دو سیستم هستم ، و یکی از سؤالاتی که من مطرح کردم این است که بدتر بودن شناسه سرقت شده در مقابل شناسه جلسه ، چقدر بدتر است؟…
رمزگذاری – اگر من شناسه و رمز عبور ایمیل خود را منتشر کنم اما در همه حساب های خود 2FA داشته باشم ، هکر چه کاری می تواند انجام دهد؟
این به نوع 2FA و سیاست های ارائه دهندگان خدمات بستگی دارد. اگر 2FA کاملاً به یک وسیله فیزیکی اختصاصی (نشانه U2F یا مشابه آن) متصل باشد ، بایستی دور زدن مستقیم آن به نوعی غیرممکن باشد ، مگر اینکه مهاجمی این وسیله فیزیکی را در اختیار داشته باشد. در عوض اگر 2FA فقط با…