Hlavní navigace

Názor k článku Jak jde (nejen) na Alza.cz nakoupit za cizí peníze [AKTUALIZACE] od Vindis - Odposlechnutí nijak. Jenže finta je v tom, že...

Článek je starý, nové názory již nelze přidávat.

  • 24. 2. 2015 11:03

    Vindis

    Odposlechnutí nijak. Jenže finta je v tom, že při každém požadavku se vygeneruje nové unikátní ID. Případně se připojí nějaký token.

    Takže zatímco skutečný uživatel mezitím načte další stránku, při kterém se vygeneruje nové ID, tak útočník pro svůj útok použije původní ID. No a aplikace, která provede kontrolu, zjistí, že ID nesouhlasí, tudíž předpokládá, že došlo ke zneužití sezení, tak provede preventivní odhlášení a dál uživatele, ať už jim je kdokoli, nepustí dál. A to platí i pro opak. Útočníkovi se podaří ID použít a stránku zobrazit. Tím pádem skutečný uživatel provede další načtení s již neplatným ID, tak u něho dojde k preventivnímu odhlášení. A jelikož došlo k odhlášení, zneplatnění sezení, tak i útočník se dále nikam nedostane.

    Takže zde není potřeba mít nějaké HTTPS, když případné zneužití řeší aplikace. HTTPS provede pouze to, že zamezí získání ID po cestě odposlechnutím. Ale neřeší problém jako celek - použití útoku, byť jinými prostředky.