hackning af session, kan dette lade sig gøre??

Du skal lægge koden på de sider, som gerne må ses, hvis man logger ind via en session. Men om det er til at hacke sig igennem, er jeg også spændt på. Lytter lige med :o)

ok.....

Du skulle måske afsætte nogle point? Så er folk måske mere interesseret i at svare :o)

freedom :> Når en bruger anmoder om en ASP side for første gang, genererer ASP en SessionID som fungerer som en unik ID af brugeren. Hvis jeg ikke tager fejl så lever en session kun i browseren\'s hukommelse, så længe brugeren har sin browser åben, herefter sletter serveren alle sessions eller ved TimeOut (default 20 minutter), hvordan skal en session så kunne hackes?
Tænker du ikke på Cookies? som er placeret(hvis du anvender Internet explorer) i Windows/profiles/<brugernavn>/Cookies og det er en tekst fil og kan sikkert sagtens hackes.

steen hansen :> 30 point er for et middel spørgsmål, syntes du det er for lidt til dette spørgsmål?

qizom: Overhovedet ikke. Til en start var der 0 point.

nej jeg snakker om session. Jeg mener 100 % det kan hackes.jeg menér at havde hørt det. jegh bare være sikker!

Sessions er en slags cookiebaseret authentication.

Dvs hvis en bruger ikke har Cookies enabled i sin browser vil sessionsystemet ikke virke. I de fleste tilfælde vil dette dog bare betyde at brugeren ikke vil kunne benytte det system er er baseret på sessions. Afhængig af hvor dårligt dette system er lavet vil det kunne lade sig gøre at \"hacke\" / misbruge systemet hvis man slår cookies fra i sin browser.

f.eks et afstemnings script der tjekker om brugeren har stemt vha. af sessions. Hvis cookies er slået fra kan det ikke lae sig gøre at tjekke om brugeren har stemt og brugeren kan derfor trykker F5 lige så lystigt han eller hun vil.

Lign huller finder man i andre systemer, der ikke er baseret på et profil login via en database hvor man kan sætte et flag på en unik bruger.

Derudover er der selvfølgelig altid mulighed for diverse metoder at sniffe pakkerne der bliver sendt på for på den måde at immitere en eventuel session, mere om det her:

http://groups.google.com/groups?hl=da&threadm=3b9c379d.965219111%40news&rnum=13&prev=/groups%3Fq%3Dasp%2Bsession%2Bhack%26start%3D10%26hl%3Dda%26rnum%3D13%26selm%3D3b9c379d.965219111%2540news

Med Venlig Hilsen
Oscar Eg Gensmann

steen_hansen :> OK, sorry

freedom :> fra linket!!
The problem is not with the session object. The likelihood someone
will hack the server and get the session key is less likely than
someone stealing the users name and password. The general problem with
session variables like this is when the user name and password are
compromised. If you allow people to log on with NetScape, the UID and
PWD can be sniffed unless it is under HTTPS. As far as someone
cracking the server to learn how to set up a session cookie, it is not
going to happen as long as there is an easier way.

Gregory A. Beamer
MCP: +I, SE, SD, DBA
Author: ADO.NET and XML: ASP.NET on the Edge (3Q 2001)
-------
Der sker jo en data transport imellem serveren og klienten når man bruger sessoins, med den data transport sker med HTTP, men I øvrigt så kan alt vel hackes.
Er du ved at udarbejde et Online bank system?

osaka_san-> du spår til pointsne men har det lige åbnet ligt endnu!

freedom :> Hvis du læser osaka_san link så er det ikke selve sessionen der er problemer med.

Det er ikke så ligetil - men kan lade sig gøre.
- ellers havde de jo nok ikke lavet en patch ;-)

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-080.asp

http://www.secadministrator.com/Articles/Index.cfm?ArticleID=15940

/djoller

djoller :> det er gamle patches released October 23, 2000. Mener du at det stadig væk at det kan lade sig gøre at hacke en session, når disse patches er installeret????

hvem skal have pointsne????

Det bestemmer du!

freedom :>  Hvad med at lukke og slukke her?

lukker

f