0
我最近一直在閱讀會話cookie,以及他們如何通過中間人攻擊被劫持。看來這主要可能是客戶端和Web服務器之間的未加密連接。爲什麼會在UN/PW應該可用時嗅探會話Cookie?
但是,我不明白爲什麼,如果一個人已經在一個未加密連接的「中間」,人們會更喜歡捕獲cookie而不是用戶名& password - 一個更有價值的資源 - 它也應該被髮送在明文?
A
回答
1
竊取cookie是計算劫持最簡單的方法。
- 未加密的流量並不意味着數據是純文本格式。尤其是移動應用程序在發送數據之前對數據使用加密方法。因此,即使您正在進行MITM攻擊,您也無法獲得用戶名/密碼。
- 您不知道客戶端是否已通過身份驗證。因此,當您啓動MITM攻擊時,您無法確定您的所有目標都將輸入其用戶名/密碼。
- 2因素認證機制呢?如果你試圖竊取用戶名/密碼而不是cookie值。您計劃如何登錄2個支持因子認證的賬戶?
相關問題
- 1. 什麼時候應該使用會話變量而不是cookie?
- 2. 數據包嗅探和會話
- 3. Cookie嗅探器 - PHP
- 4. 什麼是無Cookie會話?
- 5. 如果cookie時間設置爲零,會話會發生什麼?
- 6. 會話ID cookie是否應該簽名?
- 7. 爲什麼登錄令牌響應cookie設置爲會話
- 8. 爲什麼不應該使用密碼作爲會話密鑰
- 9. 什麼時候會話數據可用?
- 10. 安全會話cookie爲Rails應用
- 11. 爲什麼我的Rails會話和cookie不會持久?
- 12. 爲什麼我們在會話中使用Asp.net中的Cookie?
- 13. 使用會話變量時應該注意什麼?
- 14. 爲什麼cookie會在IE6/8中消失,我該怎麼辦?
- 15. 應該在會話中存儲什麼以及cookie中的內容?
- 16. ASP.NET:即使沒有cookie,我爲什麼可以讀取會話cookie?
- 17. Cookie不會在https://工作?爲什麼?
- 18. 什麼時候使用快速會話創建一個cookie?
- 19. nodejs。什麼庫我應該使用會話存儲在MongoDB中
- 20. 會話ID應該
- 21. 爲什麼Magento每個會話使用2個cookie?
- 22. 會話與cookie
- 23. JMeter;會話cookie
- 24. Coldfusion會話Cookie
- 25. Android - 會話Cookie
- 26. 什麼(軟件)usb嗅探器可用於Windows?
- 27. 在ASP.NET MVC中,爲什麼會話時TempData不會持久?
- 28. 爲什麼tomcat會爲每個請求創建一個會話cookie?
- 29. Rails cookie被設置,cookie中的會話變量可讀,會話不可讀
- 30. ASP.NET會員會話cookie
您可能*能夠 - 但是是通用的,誰說用戶名和長期完整的密碼被用於創建會話 - 可能是使用某種形式的一次性密碼。也許用戶只需要提供他們的密碼等某些字母。 – 2014-10-30 08:01:31
@Damien_The_Unbeliever:啊,這是可以理解的。但是在人們從頭開始登錄帳戶的情況下,假設如果能夠捕獲會話cookie,他們的用戶名和密碼應該相當於易於捕獲的情況下是否公平? – Abhi 2014-10-30 08:04:34