2. Session
• Slouží k identifikaci mezi jednotlivými
requesty
• Přenos přes HTTP protokol
• Způsob přenosu:
Parametr v URL
Skryté formulářové pole
Cookies
• SESSIONID=KBY1T2ywyKtQULVDJfiU1ChG;
3. Session fixation
• Session se uloží přímo do URL
• Zaslání URL oběti
• Po přihlášení oběti se použije session z
URL
• Stránky musí podporovat znovupoužití
vyexpirované session
• Služby:
5. Session sidejacking
• Ukořistění platné session cookie
• Lze využít k neautorizovanému přístupu k
webovým službám, soc. sítím atd.
• Session lze zachytit pomocí packet
sniffingu mezi klientem a serverem
(Wireshark)
6. Session sidejacking
• Funguje pouze pro nezabezpečená
spojení a sítě
• Web sites používají SSL spojení pouze
pro autentizaci – náročné na výkon
• Služby:
• Prostředí:VŠB tuonet-simple, free hotspoty
8. Facebook sidejacking
• Session v cookie s názvem datr
• Překopírovat do hlavičky nového
požadavku
• Session aktivní až do odhlášení uživatele
• http://www.youtube.com/watch?v=1Gyz0_bSioI&
feature=youtu.be
9. Facebook sidejacking
• Povolit promiskuitní režim na síťové kartě
• Automatizované nástroje jako firesheep
• Ochrana proti sidejackingu:
• připojování do zabezpečených a důvěryhodných sítí
• zapnout podporu SSL protokolu (nutná podpora serveru)
