В поисках возможных способов получить cookie с включенным httpOnly я не могу найти ни одного. Но опять же, как расширения браузера, такие как Firebug, Add 'N Edit Cookie и т. д., могут получить файлы cookie? Разве злоумышленник не может сделать то...

Я написал следующие три функции, пытаясь предотвратить перехват сеанса. Они работают. Я вызываю set_auth_token в начале скрипта. Затем в html-форме вызываю get_auth_token. После отправки формы я вызываю check_auth_token. Однако иногда после того,...

Сценарий: при запуске сеанса на моем сайте я генерирую токен rand, который отображается пользователю один раз. Скажите, что они «хранят» его для последующего использования. Затем я ВСТАВЛЯЮ md5 (токен) в SQL с отметкой времени. Когда пользователь...

Я разрабатываю приложение на Java, которое, похоже, имеет уязвимость перехвата сеанса. Чтобы предотвратить это, рекомендуется изменить JSESSIONID для пользователя после входа в систему. Мое приложение основано на Struts 2.0 и Tomcat 7, и я...

Большинство веб-приложений используют файлы cookie для управления сеансом пользователя и позволяют вам оставаться в системе, даже если браузер был закрыт. Давайте предположим, что мы сделали все по инструкции, чтобы убедиться, что сам файл cookie...

Я попытался с помощью Postman с некоторым SessionId отправить почтовый запрос аутентификации. Мой вопрос очень похож на этот Post , это: Если использовать java-программу для получения идентификатора сеанса пользователя (хранящегося в файле...

Я создаю продукт для своей компании на Odoo 8. Я хочу знать, как я могу предотвратить захват сеанса моим приложением. Я предпринял несколько шагов для этого: Изменение идентификатора сеанса после успешного входа и выхода. Использовали ssl...

Я создаю базовую систему аутентификации php для своего веб-проекта. Я просто хочу спросить, безопасно ли это, потому что я просто беспокоюсь о проблемах с захватом сеанса и внедрением sql. Код ниже. поле пользовательской формы содержит имя поля...

У меня есть приложение в grails, использующее spring-security для управления пользователями и ролями. С тех пор, как в последние несколько дней я столкнулся со странной проблемой: когда один пользователь входит в систему в какой-то момент,...

Как мы можем предотвратить перехват сеанса в приложении asp.net mvc? Следующие шаги были выполнены тестировщиками для захвата сеанса — OWASP A2. . Войдите в систему как пользователь с низким уровнем привилегий. Войдите в систему как...

Обычная ситуация: СПА + ОТДЫХ. Если бы кто-то отказался от Auth0 и аутентифицировал веб-пользователей с помощью JWT, нужно было бы сохранить токен XSRF, предоставленный сервером при входе в систему, в файле cookie и отправить его в заголовках запроса...

Я создаю систему входа в систему и много читал о мерах безопасности, необходимых для предотвращения перехвата сеанса, фиксации, инъекций и т. д. Я определенно не эксперт по безопасности — я собрал многое из этого с помощью из сообщений на этом сайте...