elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Pequeña duda sobre robo de cookies
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Pequeña duda sobre robo de cookies  (Leído 8,188 veces)
AlexPro

Desconectado Desconectado

Mensajes: 40


Ver Perfil WWW
Pequeña duda sobre robo de cookies
« en: 12 Diciembre 2011, 21:46 pm »

Tengo una duda. Si por ejemplo, consigo robarle a alguien una sesion de hotmail(por ejemplo), cuando haga la suplantacion de sesion ya podre entrar siempre a esa cuenta? Porque yo creo que solo podre entrar mientras la victima no salga de la sesion que he robado.
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Pequeña duda sobre robo de cookies
« Respuesta #1 en: 13 Diciembre 2011, 22:03 pm »

La duración de vida del tiempo de las sesiones en PHP por defecto dura hasta que el usuario cierre el navegador. Eso responderá la pregunta....

session.cookie_lifetime

Saludos.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: Pequeña duda sobre robo de cookies
« Respuesta #2 en: 14 Diciembre 2011, 16:46 pm »

Una cookie deja de ser valida solamente cuando su correspondiente "hash" almacenado deja de ser valido para el servidor, lo cual puede ocurrir cuando el cliente "cierra su sesión" de forma explicita (que lo que realmente hace es eliminar la cookie e invalidarla en el servidor) o cuando el servidor web es reiniciado, las cookies son un mecanismo bastante similar (salvando las distancias) a los mecanismos criptograficos de clave pública/privada.
Esto quiere decir, que en un situaciones normales, podras utilizar esa misma cookie para entrar en la cuenta de dicho usuario hasta que la cookie sea invalidada en el servidor (hasta que cierre sesión de forma explicita).
En línea

AlexPro

Desconectado Desconectado

Mensajes: 40


Ver Perfil WWW
Re: Pequeña duda sobre robo de cookies
« Respuesta #3 en: 14 Diciembre 2011, 17:54 pm »

Muchas gracias, ya me habeis respondido a mi duda.
un saludo!
En línea

0x5d

Desconectado Desconectado

Mensajes: 241



Ver Perfil WWW
Re: Pequeña duda sobre robo de cookies
« Respuesta #4 en: 18 Diciembre 2011, 19:25 pm »

No solo eso, si tu robas una cookie SMF, en la cual indicaste que tu sesión
será de 60 minutos, la cookie ultrajada solo durará esos 60 minutos.

Saludos.
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Pequeña duda sobre robo de cookies
« Respuesta #5 en: 21 Diciembre 2011, 02:44 am »

No solo eso, si tu robas una cookie SMF, en la cual indicaste que tu sesión
será de 60 minutos, la cookie ultrajada solo durará esos 60 minutos.

Saludos.

No es así, solo quiere decir que la cookie se enviará durante ese tiempo pero no quiere decir que solo sirva 60 minutos, de hecho puedes robar una cookie que dure 30 segundos y usarla todo un año si quieres.

Las duraciones de las cookies se manipulan a nivel cliente y no a nivel servidor por lo tanto es solo cosa de editar la cookie desde algún complemento como el cookies edit de firefox o modificando cabeceras para validar cookies que han durado poco tiempo.

Lo que si es posible es que un sistema web tome la duración de la cookie que has asignado en tu acceso de usuario y desde la base de datos darle tiempo limite a la sesión pero en este casi smf no lo hace y casi nadie lo hace.

En el caso de hotmail es un poco mas complejo porque hay valores ocultos dentro de la cookie cifrados que incluyen fechas y utilizan la base de datos directamente para darle tiempo de vida a las cookies asi que si robas una cookie de hace 1 año no te servirá hoy, además creo que valida otras cosas que no he averiguado pero creo que debes suplantar muchas mas cosas que solo una cookie.
« Última modificación: 21 Diciembre 2011, 02:46 am por WHK » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Xss in Myspace Robo de Cookies « 1 2 »
Nivel Web
Girl! 11 7,723 Último mensaje 8 Mayo 2007, 09:14 am
por yeikos
Pequeña duda sobre WMI
Programación Visual Basic
ŞCØRPIØN-X3 2 2,296 Último mensaje 13 Mayo 2011, 04:58 am
por ŞCØRPIØN-X3
Duda sobre cookies
Dudas Generales
Senior++ 4 4,298 Último mensaje 16 Julio 2011, 16:19 pm
por Senior++
Cookset: automatizando el proceso de robo de cookies
Hacking
sm1204 1 2,953 Último mensaje 18 Enero 2012, 12:41 pm
por adastra
Duda acerca del robo de cookies
Hacking
Zeta1337 3 3,227 Último mensaje 4 Febrero 2018, 01:55 am
por Sp3cialK
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines