Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

PenT > A2 - Broken Auth > Flashcards

A2 - Broken Auth Flashcards

1
Q

Möglichkeiten des Session Hijackings

A

Angriffe auf Sitzungsbezeichner

  • Brute Force
  • Berechnung (falls einfacher Algo zugrunde liegt)
  • Cross Site Scripting (stehe Session ID von bereits authentifizierten Nutzern durch Ausnutzung einer XSS-Schwachstelle)
  • Sniffing (Extrahiere ID aus Netzwerkverkehr)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Anforderungen an Sitzungsbereichner

A
  • hinreichend lang
  • echt zufällig
  • nicht berechenbar (durch Dritte)

zB MD5(R1+Time+IP+R2)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Sitzungsbezeichner in der URL

A

Sitzungsbezeichner in der URL können in Browser History, Proxy Logs, Server-Logs, usw ausgelesen werden

daher: cookies

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

session fixation angriff

A

Setze ID auf einen vom Angreifer kontrollierten Wert.

Ermöglicht es dem Angreifer, eine valide user session zu übernehmen. Der Angreifer besorgt sich eine valide session id indem er sich mit der Applikation verbindet, gibt die id an sein opfer weiter (zb in form einer URL mit session ID als URL-Argument) und hijackt mit Wissen der ID dann die Verbindung.

-> daher: änderung der session ID bei login und logout

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

preauthentication angriff

A

Kopiere den Sitzungsbezeichner vor dem Login-Vorgang

-> daher: änderung der session ID bei login und logout

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

PenT (12 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions