Annonce

Réduire
Aucune annonce.

Voler un cookie puis le remplacer

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Voler un cookie puis le remplacer

    Bonjour,

    Si je récupère le fichier cookie de qqn pour un site web et que je le met dans mes cookies sur mon ordinateur, pourrai-je me connecter au site ?

    Merci

  • #2
    Un cookie, s’il est associé à un identifiant d’enregistrement de session (i.e. PHPSESSID), est valide uniquement pendant la durée de navigation de l’utilisateur.

    Ainsi, il sera possible de procéder à une attaque de type “Session Hijacking”, en respectant la durée de validité (“live span”) de cette session et en inscrivant ce cookie directement dans ton navigateur.

    Cependant, des mécanismes de protection ont été développés et implémentés sur certains sites, et permettrons d’empêcher ce genre d’attaque, par exemple, une authentification du client et du serveur en utilisant un mécanisme de chiffrement de type SSL/TLS et l’utilisation de “Secure Cookies” permettant d’exiger l’utilisation d’un tunnel chiffré par le client pour transmettre le cookie et y ajoutant un “Secure Flag”.

    Pour plus d’informations, je te suggère de consulter l’OWASP (“Open Web Application Security Project”).
    Dernière modification par Creased, 28 avril 2016, 07h05.

    Commentaire


    • #3
      [QUOTE=Creased;n39843Cependant, des mécanismes de protection ont été développés et implémentés sur certains sites, et permettrons d’empêcher ce genre d’attaque[/QUOTE]
      Exactement mais on peut noter que de gros site comme netflix n'ont toujours pas patché ce genre d'utilisation du cookie

      Commentaire

      Chargement...
      X