elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Funcionamiento de la sesion de Windows Live (Hotmail)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Funcionamiento de la sesion de Windows Live (Hotmail)  (Leído 6,811 veces)
andres52

Desconectado Desconectado

Mensajes: 33


Ver Perfil
Funcionamiento de la sesion de Windows Live (Hotmail)
« en: 1 Marzo 2010, 13:19 pm »

Un saludo a todo el foro, aclaro que mi duda NO es sobre hacking hotmail ni nada parecido. Es solo una pregunta técnica sobre el funcionamiento de las cookies. Si lo puse en la sección incorrecta, lo he hecho sin la intención de afectar al foro y con gusto aceptaré que sea movido a la sección correcta.

Escuche que robando la cookie (método ahora obsoleto) era posible logearse para siempre en una cuenta de hotmail, aún si el usuario cambiaba su contraseña. ¿Y si tenemos ya su contraseña, pero queremos asegurarnos que no la perderemos? ¿Como puedo obtener la cookie y utilizarla? Muchas gracias.
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Funcionamiento de la sesion de Windows Live (Hotmail)
« Respuesta #1 en: 1 Marzo 2010, 17:36 pm »

las cookies almacenan informacion, puede ser de un usuario con su user y pasword, puede ser un texto con cualquier informacion, las cookies mayormente se usa para obtener esa informacion y compararla con otra en caso de un cpanel, tambien se puede usar para verificar que si tal cookies existe y hacer tal cosa....

Las cookies almacena informacion que se les manda.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
DragonFire


Desconectado Desconectado

Mensajes: 848



Ver Perfil WWW
Re: Funcionamiento de la sesion de Windows Live (Hotmail)
« Respuesta #2 en: 1 Marzo 2010, 19:19 pm »

Un saludo a todo el foro, aclaro que mi duda NO es sobre hacking hotmail ni nada parecido. Es solo una pregunta técnica sobre el funcionamiento de las cookies. Si lo puse en la sección incorrecta, lo he hecho sin la intención de afectar al foro y con gusto aceptaré que sea movido a la sección correcta.

Escuche que robando la cookie (método ahora obsoleto) era posible logearse para siempre en una cuenta de hotmail, aún si el usuario cambiaba su contraseña. ¿Y si tenemos ya su contraseña, pero queremos asegurarnos que no la perderemos? ¿Como puedo obtener la cookie y utilizarla? Muchas gracias.

las cookies aun cuando funcionaban , no se si ya no lo hagan....

solo tienen un tiempo de vida en el servidor, no te serviria para "siempre", solo por unas horas o incluso antes si el usuario de hotmail le da cerrar sesion el servidor caduca la cookie inmediatamente.... la unica forma en que una cookie te puede servir por unas horas es que cierre el navegador sin cerrar sesion

el año pasado aun servia ese tipo de intrusion en gmail, si capturas la cookie puedes ingresar a todo los servicios de google, no se si google ya hara reparado ese detalle, mas bien no reparado, hacerlo correctamnete...

robar un cookie se vuelve absurdo si la ligas con la ip de quien autentico, de forma que aunque tengas la cookie si no tienes la ip no deberia suceder nada...aun no entiendo porque hotmail y google y muuuuchos otros servicios simplemente no ligan la cookie a la ip
En línea

andres52

Desconectado Desconectado

Mensajes: 33


Ver Perfil
Re: Funcionamiento de la sesion de Windows Live (Hotmail)
« Respuesta #3 en: 1 Marzo 2010, 19:29 pm »

Gracias por sus respuestas, duda contestada (:
« Última modificación: 16 Marzo 2010, 18:26 pm por andres52 » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Funcionamiento de la sesion de Windows Live (Hotmail)
« Respuesta #4 en: 2 Marzo 2010, 00:09 am »

es muy dificil evitar que alguien con u cookie no pueda ingresar al sitio web.

el ataque que comenta andres es sobre uno de los tantos xss que han habido en hotmail, y si logras obtener las cookies además del user agent del explorador podrás ingresar en la sesión sin problemas aunque no hayas activado la caducación de sesion.

Cuando inicias sesión en gmail, yahoo o hotmail te dan una cookie y esa cookie expira cada x cantidad de tiempo pero si logras capturar esa cookie antes que caduque puedes inyectar su contenido en el explorador y aumentar el tie,po de sesión. Recuerda que el tiempo de expiración de las sesiones no son controladas por el servidor sino por el explorador, por lo tanto basta tener el contenido de la cookie para inyectar el contenido en tu explorador sin caducación y por si las dudas te modificas el user agente como lo puede hacer fi8refox y el complemento "modify headers".

Haz la prueba e inicia sesión en hotmail, luego cambia de ip y abre hotmail otraves, te darás cuenta que la sesión no ha caducado y es porque el servidor solo verifica los valores de tu cookie y talves realiza algún checkeo con el user agent.

Los headers enviados son exactamente los mismos a que si lo hicieras desde la consola con telnet o netcat asi que si puedes hacerlo sin explorador entonces significa que puedes hacerlo desde cualquier explorador y mayor aun, sin la necesidad de que sea la misma pc.

Hace tiempo ingresaba de esa forma a los paneles de administración de phpnuke ya que esos sistemas están apestados de xss y las cookies por mas que caduquen siempre puedes manipularlas ya que el servidor no es el que las verifica el tiempo de caducación  sino el explorador.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Funcionamiento de varias direcciones IP en Windows? « 1 2 »
Redes
d3xf4ult 10 14,604 Último mensaje 15 Marzo 2012, 00:11 am
por HdM
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines