Oturum Bilgisini İçeren Çerezlerin (Cookie) Domain ve Yol (Path) Bilgileri Sızma Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Çerezler aracılığıyla domain ve yol bilgilerini öğrenmek.

Araç:

  • Firebug

Adım:

Hedef sisteme giriş yapıldıktan sonra Firebug’ın "Net" paneli aracılığıyla oturum bilgileri yakalanır. Burada "HTTP Cookie" bilgilerine bakılarak normalde bir cookienin geçerli olacağı yol ve domainleri gösteren ama bazı durumlarda dışarı sızmaması gereken (yönetici paneli yolları gibi) bilgilerin de gösterilmesine sebep olan Domain ve Path değerleri aranır.

Set-Cookie: LSID=DQAAAK…Eaem_vYg; Domain=docs.foo.com; Path=/accounts; Expires=Wed, 13 Jan 2021 22:23:01 GMT; Secure; HttpOnly
Set-Cookie: HSID=AYQEVn….DKrdst; Domain=.foo.com; Path=/; Expires=Wed, 13 Jan 2021 22:23:01 GMT; HttpOnly
Set-Cookie: SSID=Ap4P….GTEq; Domain=.foo.com; Path=/; Expires=Wed, 13 Jan 2021 22:23:01 GMT; Secure; HttpOnly

Kaynak:[değiştir]