@video12
Если злоумышленник подделает http заголовки и cookie чужого человека сможет ли он авторизоваться?
Например, если он сделает curl запрос в котором user agent такой же как у жертвы и заголовок cookie также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти куки, трояном или как нибудь еще.
Например, если он сделает curl запрос в котором user agent такой же как у жертвы и заголовок cookie также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти куки, трояном или как нибудь еще.
Решения вопроса 2
@mayton2019
С точки зрения современного инфо-беза логин + пароль — уже не танцуют.
Сейчас — основной упор на безопасность — это многофакторка. И время сессии
желательно как можно меньше. Например 15 минут. В кабинетах банков так уже делают.
Сейчас — основной упор на безопасность — это многофакторка. И время сессии
желательно как можно меньше. Например 15 минут. В кабинетах банков так уже делают.
Если злоумышленник у вас угнал куки то у него есть очень мало времени чтобы ими
воспользоваться иначе надо будет доставать как-то ваш телефон или RSA-брелок.
Кроме того сами методы многофакторки рандомно меняются. Банк для авторизации
входа может позвонить голосом. Чтоб подтвредить. Может попросить ввести число
с генератора в MSAuth/Okta/Duo. Или приложить палец к сканеру отпечатков.
Тоесть кража самих кукисов — влечет для нас целый квест вопросв и ответов которые нужно
дальше спрашивть прежде чем сказать что-то утвердительно.
Ответы на вопрос 3
@pfg21
может, авторизация без запроса логин/паролей аккурат через куки и работает.
@ThunderCat
Если злоумышленник введет логин и пароль чужого человека сможет ли он авторизоваться?
Например, если он сделает curl запрос в котором user agent такой же как у жертвы и пароль и логин также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти данные, трояном или как нибудь еще.
Например, если он сделает curl запрос в котором user agent такой же как у жертвы и пароль и логин также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти данные, трояном или как нибудь еще.
@BasiC2k
Имея чужие куки ЛЕГКО выполнять любые действия пользователя на стороннем сайте.
Я делал проект, где куки через Chrome Extension отправлялись на сторонний сервер и там выполнялись действия по автоматизации. Да, некоторые сайты сверяют IP, время, часовой пояс. Но это уже детали.
Я делал проект, где куки через Chrome Extension отправлялись на сторонний сервер и там выполнялись действия по автоматизации. Да, некоторые сайты сверяют IP, время, часовой пояс. Но это уже детали.