|
Título: Sustitución de cookies en logueo de sesión pero al segundo me saca de la misma Publicado por: g3nh4ack en 27 Febrero 2013, 20:23 pm Buenas, tras haber implementado un logueo y contraseña cifrados, estoy tratando de saltarme esa seguridad con wireshark y HTTP header de manera conjunta. No creo que haga falta explicar el proceso porque quien sepa responderme ya sabrá cual es...xd.
En fin, el problema es que al sustituir los cookies y cargar la página con http header, el navegador entra en la sesión un segundo, me deja ver la pagina de inicio, y en seguida retrocede nuevamente a la pagina de loguin. Quisiera que alguien me explicara qué es lo que sucede exactamente para que el navegador retroceda para saber si estoy haciendo algo mal en la sustitución de cookies y por eso no me deja entrar más de un segundo, o simplemente es que no puedo explotar esa vulnerabilidad... Gracias de antemano a quien sepa responderme Título: Re: Sustitución de cookies en logueo de sesión pero al segundo me saca de la misma Publicado por: g3nh4ack en 1 Marzo 2013, 08:59 am En vista que nadie me ha respondido yo solo lo hago. Los cookies tienen fecha de caducidad y ahí estaba el problema. Es fácil susutituir su fecha de caducidad, y la única manera de asegurar la conexión es poniendo éstas en SSL
Título: Re: Sustitución de cookies en logueo de sesión pero al segundo me saca de la misma Publicado por: Falso Positivo en 13 Marzo 2013, 05:26 am debes rehacer exactamente las mismas cabeceras que tengas en la sesión de usuario válido.
Es probable que te esté faltando por ejemplo PHPSESSID variable que maneja el propio servidor web y que muchos sistemas usan para corroborar la sesión del lado del cliente. Para verlo por ejemplo con firefox entras al sitio en cuestión, te logueas y luego vas a ver las cookes, si el sitio usó este método verás PHPSESSID con un valor, no tienes mas que copiar ese valor y usarlo en tu login automático. |