تفاوت Session Fixation و Session Donation
سلام. میخواستم بدونم تفاوت Session Fixation و Session Donation در چی هست؟
و اگر یه توضیحی درباره هرکدوم بدید ممنون میشم.
البته با توجه به چیزی که خوندم میدونم در Session Fixation هکر Session ودش رو برای کاربر میفرسته و ... اما دقیق نفهمیدم این Session رو چطور بدست میاره. با لاگین توی سایت یا ... ؟
4 پاسخ
سلام. تشکر بابت جواب مفیدتون
فقط یه موردی ، توی حمله Session Fixation هکر چطوری برای خودش یک Session ID در سایت میسازه؟
من چند جا دیدم جایی نوشته بود لاگین میکنه و با اینکار یک Session ID بهش تعلق میگیره. خب اگه لاگین کنه و Session ID خودش رو برای قربانی بفرسته ، قربانی میتونه وارد حساب هکر بشه و حمله خراب میشه کلا. یا از راه دیگه ای Session ID میگیره از سایت؟
سلام خسته نباشید
جزوه دسته حملات Session Hijacking قرار میگیره با تفاوت که گفته میشه چرا خودمان هویتمان را جعل کنیم؟ چرا هویت ما توسط دیگران جعل نشود؟ در شرایط فرد مهاجم یک Session رو در یک سرور خاص داره و اون Session دارای یک SID یا همون Session ID هستش به سبب این موضوع فرد مهاجم با درخواست خاصی یا فرآیند خاصی کاربر رو به نوعی وادار میکنه که وارد اون Session بشه با SID اون فرد و وقتی که برای مثال اطلاعات شخصی و مورد نظرشو وارد میکنه در این صورت فرد میتونه برگرده به همون SID و اطلاعاتی که شخص مورد نظرش وارد کرده رو بخونه
سلام تشکر بابت پاسخگوییتون.
این نکته رو بگم که در Session Fixation هکر یک Session ID میسازه و به قربانی میده تا قربانی باهاش لاگین کنه و بعد از لاگین هکر وقتی وارد Session خودش بشه میتونه به حساب کاربری قربانی دسترسی پیدا کنه
البته خودتون این موضوع رو متوجه شدید و من اینو گفتم تا اگر کسی این مطالب رو دید دچار اشتباه نشه
تصویر بالا:(https://www.researchgate.net/figure/Exemplified-Session-Fixation-attack-12_fig1_221002343)
توی حمله Session Fixation قربانی وارد Session هکر نمیشه و این هکر هست که با جعل کردن SID قربانی وارد Session اون میشه
وارد شدن به Session هکر زمانی هست که قراره حمله Session Donation صورت بگیره و Session هکر به صورت یک Session کاملا خام ارائه میشه به کاربر