banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Cần hiểu thêm về Session (Phản hồi bài viết HTTP Session Sidejacking)  XML
  [Discussion]   Cần hiểu thêm về Session (Phản hồi bài viết HTTP Session Sidejacking) 07/04/2012 23:12:26 (+0700) | #1 | 261006
jigorokano
Member

[Minus]    0    [Plus]
Joined: 05/04/2012 02:00:56
Messages: 4
Offline
[Profile] [PM]
Chả là sau khi tham khảo bài viết " HTTP Session Sidejacking "
Mình có làm lab để kiếm chứng và đúng là có lấy được session của máy Victim, đăng nhập vào tài khoản của họ mà ko cần ID và Password.
Và mình cũng tìm hiểu là session timeout là khoản 15-20', tuỳ người lập trình ^^ ( cái này trước có học làm web nên cũng có tìm hiểu sơ qua ).
Và sau đây là những vấn đề mình thắc mắc sau bài lab của bác Xnohat mong các bác trả lời nhiệt tình, ^^ (mình ko phải là người phá phách hack tài khoản người ta rồi viết bậy bạ lên đó, mình muốn hiểu rõ thêm về những gì mình đang làm và đang học thôi.)

1/ Ví dụ như mình, mỗi lần mình vào tài khoản facebook, thì mình chỉ cần gõ vào facebook, và firefox có chức năng nhớ ID và pass của mình để tự động đăng nhập vào, và như mình đc thấy thì Cain bắt được gói tin đó dưới dạng ID và password đã được mã hoá,
Và sau lần đăng nhập đó thì client và server sẽ xác thực với nhau = session, có đúng không ? Và gói tin session không có ID và password trong đó có phải vậy không? và cứ mỗi lần mình có 1 thao tác vào trang đó, thì session time sẽ được reset lại đúng không ?

2/ Vì nó thuộc về tính năng của http ở tầng ứng dụng nên việc mình thay đổi mạng khác, ví dụ đang sài wireless , rồi tắt wireless qua 3G, miễn sao vần còn trong session time thì vẫn có thể duy trì đăng nhập và kết nối bình thường phải ko các bác? Cái này em chưa thử đc, vì ko có usb 3G kế bên, và khi về nhà thì session đã timeout, nên ko vào fb đó đc nữa

3/Server và client liên lạc với nhau và xác thực với nhau qua session ID và session time phải ko các bác?
Nếu như vậy thì những gói tin mình bắt chỉ là session ID phải ko ợ?

Tạm thời mình có bấy nhiu đó thắc mắc, nếu muốn hỏi nữa, mình sẽ cập nhật, cảm ơn các bác đã đọc bài viết.
[Up] [Print Copy]
  [Discussion]   Cần hiểu thêm về Session (Phản hồi bài viết HTTP Session Sidejacking) 07/04/2012 23:41:51 (+0700) | #2 | 261011
[Avatar]
xuanphongdocco
Member

[Minus]    0    [Plus]
Joined: 19/08/2009 08:25:03
Messages: 247
Offline
[Profile] [PM]

jigorokano wrote:

1/ Ví dụ như mình, mỗi lần mình vào tài khoản facebook, thì mình chỉ cần gõ vào facebook, và firefox có chức năng nhớ ID và pass của mình để tự động đăng nhập vào, và như mình đc thấy thì Cain bắt được gói tin đó dưới dạng ID và password đã được mã hoá,
 


2 cái này không liên quan với nhau bạn à. Một bên là chức năng nhớ thông tin của trình duyệt, một bên là nghe lén HTTP session. Kể cá bạn đăng nhập mà không chọn nhớ mật khẩu thì vẫn bị đánh cắp session như thường.
Xuân Phong Nguyễn
[Up] [Print Copy]
  [Discussion]   Cần hiểu thêm về Session (Phản hồi bài viết HTTP Session Sidejacking) 08/04/2012 00:05:45 (+0700) | #3 | 261014
jigorokano
Member

[Minus]    0    [Plus]
Joined: 05/04/2012 02:00:56
Messages: 4
Offline
[Profile] [PM]

xuanphongdocco wrote:

2 cái này không liên quan với nhau bạn à. Một bên là chức năng nhớ thông tin của trình duyệt, một bên là nghe lén HTTP session. Kể cá bạn đăng nhập mà không chọn nhớ mật khẩu thì vẫn bị đánh cắp session như thường. 

cảm ơn bạn! Bạn xem mình cần bổ sung thêm kiến thức nào bạn cứ góp ý giúp mình nhé smilie

chờ thêm ý kiến của mọi người
[Up] [Print Copy]
  [Discussion]   Cần hiểu thêm về Session (Phản hồi bài viết HTTP Session Sidejacking) 09/04/2012 09:48:34 (+0700) | #4 | 261060
[Avatar]
Mask__
Member

[Minus]    0    [Plus]
Joined: 16/02/2012 17:28:30
Messages: 58
Location: shinobi
Offline
[Profile] [PM]

jigorokano wrote:
Chả là sau khi tham khảo bài viết " HTTP Session Sidejacking "
Mình có làm lab để kiếm chứng và đúng là có lấy được session của máy Victim, đăng nhập vào tài khoản của họ mà ko cần ID và Password.
Và mình cũng tìm hiểu là session timeout là khoản 15-20', tuỳ người lập trình ^^ ( cái này trước có học làm web nên cũng có tìm hiểu sơ qua ).
Và sau đây là những vấn đề mình thắc mắc sau bài lab của bác Xnohat mong các bác trả lời nhiệt tình, ^^ (mình ko phải là người phá phách hack tài khoản người ta rồi viết bậy bạ lên đó, mình muốn hiểu rõ thêm về những gì mình đang làm và đang học thôi.)

1/ Ví dụ như mình, mỗi lần mình vào tài khoản facebook, thì mình chỉ cần gõ vào facebook, và firefox có chức năng nhớ ID và pass của mình để tự động đăng nhập vào, và như mình đc thấy thì Cain bắt được gói tin đó dưới dạng ID và password đã được mã hoá,
Và sau lần đăng nhập đó thì client và server sẽ xác thực với nhau = session, có đúng không ? Và gói tin session không có ID và password trong đó có phải vậy không? và cứ mỗi lần mình có 1 thao tác vào trang đó, thì session time sẽ được reset lại đúng không ?

2/ Vì nó thuộc về tính năng của http ở tầng ứng dụng nên việc mình thay đổi mạng khác, ví dụ đang sài wireless , rồi tắt wireless qua 3G, miễn sao vần còn trong session time thì vẫn có thể duy trì đăng nhập và kết nối bình thường phải ko các bác? Cái này em chưa thử đc, vì ko có usb 3G kế bên, và khi về nhà thì session đã timeout, nên ko vào fb đó đc nữa

3/Server và client liên lạc với nhau và xác thực với nhau qua session ID và session time phải ko các bác?
Nếu như vậy thì những gói tin mình bắt chỉ là session ID phải ko ợ?

Tạm thời mình có bấy nhiu đó thắc mắc, nếu muốn hỏi nữa, mình sẽ cập nhật, cảm ơn các bác đã đọc bài viết. 

1.Không có gói tin gọi là session.
2. Thứ mình thu được không hẳn là chỉ có session id , cậu hãy dùng Wireshark để xem cách các gói tin nói chuyện với nhau.
Tình cờ là hình hài của chúa khi vi hành...
[Up] [Print Copy]
  [Discussion]   Cần hiểu thêm về Session (Phản hồi bài viết HTTP Session Sidejacking) 11/04/2012 17:48:05 (+0700) | #5 | 261201
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

jigorokano wrote:
Chả là sau khi tham khảo bài viết " HTTP Session Sidejacking "
Mình có làm lab để kiếm chứng và đúng là có lấy được session của máy Victim, đăng nhập vào tài khoản của họ mà ko cần ID và Password.
Và mình cũng tìm hiểu là session timeout là khoản 15-20', tuỳ người lập trình ^^ ( cái này trước có học làm web nên cũng có tìm hiểu sơ qua ).
Và sau đây là những vấn đề mình thắc mắc sau bài lab của bác Xnohat mong các bác trả lời nhiệt tình, ^^ (mình ko phải là người phá phách hack tài khoản người ta rồi viết bậy bạ lên đó, mình muốn hiểu rõ thêm về những gì mình đang làm và đang học thôi.)

1/ Ví dụ như mình, mỗi lần mình vào tài khoản facebook, thì mình chỉ cần gõ vào facebook, và firefox có chức năng nhớ ID và pass của mình để tự động đăng nhập vào, và như mình đc thấy thì Cain bắt được gói tin đó dưới dạng ID và password đã được mã hoá,
Và sau lần đăng nhập đó thì client và server sẽ xác thực với nhau = session, có đúng không ? Và gói tin session không có ID và password trong đó có phải vậy không? và cứ mỗi lần mình có 1 thao tác vào trang đó, thì session time sẽ được reset lại đúng không ?

2/ Vì nó thuộc về tính năng của http ở tầng ứng dụng nên việc mình thay đổi mạng khác, ví dụ đang sài wireless , rồi tắt wireless qua 3G, miễn sao vần còn trong session time thì vẫn có thể duy trì đăng nhập và kết nối bình thường phải ko các bác? Cái này em chưa thử đc, vì ko có usb 3G kế bên, và khi về nhà thì session đã timeout, nên ko vào fb đó đc nữa

3/Server và client liên lạc với nhau và xác thực với nhau qua session ID và session time phải ko các bác?
Nếu như vậy thì những gói tin mình bắt chỉ là session ID phải ko ợ?

Tạm thời mình có bấy nhiu đó thắc mắc, nếu muốn hỏi nữa, mình sẽ cập nhật, cảm ơn các bác đã đọc bài viết. 


Để có câu trả lời tôi đề nghị bồ tự thử nghiệm để thấy rõ. Bồ vào một website bình thường ( không có HTTPS ) có chức năng đăng nhập và chức năng "nhớ mật khẩu" ( không phải nhớ bằng tính năng nhớ mật khẩu của trình duyệt )

Dùng wireshark bắt các gói tin HTTP ( cổng 80 ) trong lúc
1. truy cập website nhưng chưa đăng nhập
2. Thực hiện đăng nhập
3. Lúc đã đăng nhập và chọn "lưu đăng nhập"
4. Lúc tắt trình duyệt, bật lại và truy cập vào lại

Chú ý xem phần COOKIE: trong gói tin để biết trình duyệt và ứng dụng phía máy chủ làm gì với việc đăng nhập và session thực ra là cái gì.
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|