Oturum Sabitleme (Session Fixation) Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Hedef kullanıcının sisteme saldırgan tarafından bilinen geçerli bir oturum bilgisi ile giriş yapmasını sağlayarak kullanıcının hesabını ele geçirmek.

Araçlar:

  • Firefox 22
  • Firefug 1.11.4

Adımlar:

  • Firefox’un Firebug eklentisinin "NET" paneli kullanılarak hedef sistemdeki geçerli oturumun oturum bilgisinin nasıl taşındığı (URL, hidden field, cookie) tespit edilir ve hedef kullanıcının sunucuya o oturum bilgisi ile oturum açması sağlanır. URL için örnek saldırı adımlar aşağıdaki ekran görüntüsünde gösterilmiştir.

Session fixation.png

  • 1. ve 2. adımlarda saldırgan sisteme giriş yaparak geçerli bir oturum bilgisi elde ediyor.
  • 3. adımda bu oturum bilgisini kullanan giriş linkini, kurbana yolluyor ve tıklaması için ikna ediyor.
  • 4. ve 5. adımlarda kurban, saldırganın oturum bilgisi ile sisteme giriş yapıyor.
  • 6. adımda saldırgan kendi oturum bilgisi ile kurbanın hesabına ulaşıyor.

Kaynak:[değiştir]