intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Hack Session

Chia sẻ: Ai Dieu | Ngày: | Loại File: DOC | Số trang:2

Thêm vào BST
Báo xấu
95
lượt xem 22
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Một SessionID là một chuỗi nhận diện thường dùng kết hợp với Web động để định nghĩa trạng thái giữa người lướt web và ứng dụng Web. Một số Web Servers sẽ cung cấp một SessionID cho người sử dụng sau khi họ viếng thăm một số trang web trên server trong lần đầu tiên.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Hack Session

  1. Hack Session trang này đã được đọc  lần  Một SessionID là một chuỗi nhận diện thường dùng kết hợp với Web động để định nghĩa trạng thái giữa người  lướt web và ứng dụng Web. Một số Web Servers sẽ cung cấp một SessionID cho người sử dụng sau khi họ  viếng thăm một số trang web trên server trong lần đầu tiên. SessionID thường được lưu trữ trong cookie bởi trình duyệt. Thư mục lưu cookie như sau Đối với trình duyệt Netscape thì được lưu tại C:\Program FIles\Netscape\Users\UserName\Cookies.txt và đối với trình duyệt IE là C:\Documents and  Setting\username\Cookies (Win2000) SessionID cũng có thể được ghi vào trong một URL tĩnh, hoặc là trường ẩn trong trang web HTML. Giới thiệu thành phần của Cookies Thường cookie được sử dụng để lưu trữ một SessionID như sau: www.redhat.com|FLASE|/|FLASE|1154023534|Apache|64.3.40.151.16018996349247480| 1. Domain: Tên domain 2. Flag (Cờ): Giá trị TRUE / FALSE cho biết có hay không có domain có thể truy cập biến 3. Đường dẫn URL 4. Giá trị TRUE/FALSE cho biết kết nối có sử dụng SSL hay không ? 5. Ngày hết hạn của cookie được tính từ 00:00:00 GMT Tháng 1, 1970 6. Tên của biến 7. Giá trị của biến URL tĩnh với SessionID Nghĩa là SessionID được gửi ngay trên URL Ví dụ http://www.123.greetings.com/view/&AD30725122120803 Trường ẩn với SessionID Nghĩa là SessionID được lưu trong trường ẩn của trình duyệt. Bạn có thể viewsource để xem giá trị này Ví dụ: Đây là bước đầu chuẩn bị trong quá trình Hack SessionID ! Thực hành hack SessionID http://www.123greetings.com/view/AD30725122116211 Ví dụ chúng ta gửi một thiệp đến hộp mail của chúng ta chẳng hạn vào ngày 25­7 lúc 12 giờ : 21 phút. Cái này  do thu tập nhiều link  (tức là phải thử nhiều lần để rút ra kết luận về URL này) Chẳng hạn bạn gửi 5 cái thiệp vào ngày 25­7 12:21 thì tập hợp link lại chúng ta sẽ rút ra nhận xét như sau Giả sử link của 5 lần gửi như sau http://www.123greetings.com/view/AD30725122116211 http://www.123greetings.com/view/AD30725122118909 http://www.123greetings.com/view/AD30725122120803 http://www.123greetings.com/view/AD30725122122507 http://www.123greetings.com/view/AD30725122124100 Từ URL thu tập được ta có kết luận sau AD3072512211,AD3072512212 là không đổi so sánh với thời gian gửi
  2. GreetingCard thì nó tương ứng: AD3072512211 =>Lưu ngày giờ gửi GCard là 07­25 12:21 và AD30 là như  nhau chỉ khác 5 số cuối. Vì vậy chúng ta có thể phỏng đoán (Í ẹ phỏng đoán từng số và thử trên URL chắc chít  luôn) Có chương trình sẽ giảm bớt việc này Session Brute Forcing (www.idefense.com) Hack domain  Những domain đăng kí ở register.com bị lỗi này Bạn phải có một domain đăng kí ở đây thì mới có thể phân tích được link của nó. Ví dụ bạn có domain là  abc.com đăng kí ở register.com . Vào phần lost password. Hiển nhiên là nó sẽ thông báo cho bạn như sau Thank you for using register.com's Domain Manager. To change or re­enter your password, please copy and paste the URL below into the "Location" or "Address"  field of your web browser and hit the 'Enter' key on your keyboard. Note: If your e­mail program supports HTML, you may be able to click on the link below. http://mydomain.register.com/change_password.cgi?155218782787 Note: Above link will be expire within three days Bạn hãy lost password cơ khoảng vài lần để thu tập url phân tích nó Ví dụ sau vài lần lost pass thì nó như thế này chẳng hạn  http://mydomain.register.com/change_password.cgi?486218782865 http://mydomain.register.com/change_password.cgi?440218782891  http://mydomain.register.com/change_password.cgi?685218782917  http://mydomain.register.com/change_password.cgi?505218782956  http://mydomain.register.com/change_password.cgi?435218782969  Lưu ý sẽ thấy trong phần số sẽ có 218782 là không đổi chỉ khác 3 số đầu và 3 số cuối. Hì hì vì vậy chỉ cần  brute thì là ok . Như vậy sẽ login được vào domain khác. 

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright ©2025 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
119=>2