איך לזהות בקלות "גניבת קוקית"?

[עוץליגוץלי]

איך לזהות בקלות "גניבת קוקית"?

מעבר לשמוש בssl שלא תמיד ישים (בעקר אם השרת שלכם יושב על מעבד חלש עם 24KB שצריך לבצע גם את כל הip-stack בעצמו...), ניסיתי לקשור את ה"אסימון" שחילקתי למשתמש לכתובת הIP המקורית שלו.

הבעיה - גולשים מרשתות סלולאר עלולים להחליף כתובת IP-V4 מספר פעמים במהלך הגלישה.

רעיונות מעניינים למישהו?

 

[moty127]

זה לא ברור מספיק

תסביר יותר ברור

 

[עוץליגוץלי]

מנסה להבהיר

קיימת טכניקת "גניבת זהות" - אתה מתחבר למחשב אחר, מעתיק את הקוקיות ומשתמש בהן לפנייה לאותם אתרים (הפעולה המלאה מעט יותר מורכבת, אבל זה העקרון).
&nbsp
תיאורטית אם תצליח לקרוא קוקיות של אדם המחובר ברגע זה לחשבון הpaypal שלו ולהעתיק את קוקית הtoken של החיבור, כל עוד הוא במצב login תוכל להכנס לחשבון שלו בלי לדעת את הססמא.
&nbsp
כמובן שזה משהו שיש להגן מפניו, ויש המון טכניקות. העליתי לדיון אחת מהטכניקות שיש בה בעייתיות, (לכל טכניקה הבעייתיות שלה).
&nbsp

 

[moty127]

אז ככה

זה מה שחשבתי וטוב שכתבת את זה ככה
עוד לא יצא לי לעבוד עם SSL ואני מאמין שאין token לזיהוי
אבל מה שכן אתה צריך ליצור UID
א' להצמיד למשתמש SID ולאחר מכן
ב' חשבתי לפעול לפי הפרוצדורה הבאה:
השתמש ב -
Request.ServerVariables("HTTP_USER_AGENT")
בשביל לכתוב פונקציה מיוחדת של זיהוי כמו באתר שלי
ולהצמיד למשתמש בסאשין

 

[עוץליגוץלי]

ומה ימנע ממני להאזין לתקשורת בינך ובין הלקוח

ולזייף פניות HTTP עם הuser agent שלו ועם הuid ששלחת לו?
&nbsp
אתה משתמש בפונקציה של ASP שבעצם שותלת עוגית token במחשב הלקוח שלך... הקוקית הזו מכילה את הUID. אתה פגיע מאד למאזינים על תקשורת לא מאובטחת.
&nbsp

 

[moty127]

זה בעיה

כמה אופציות:
1) לעשות אימות עם AD ככה שמשתמש שנכנס לאתר יופיע הכינוי שלו תחת
Request.ServerVariables
אבל זה לא שמיש כל כך
2) כמו שעושים אימות בראוטרים ונתבים נפתח לך חלון מיוחד של שם משתמש וסיסמה
3) זיהוי לפי כתובת IP שמשתנה אז זה בעיתי

 

[moty127]

אם אני יכול לשייך למשתמש

אם אני מוסיף לטבלה של המשתמשים גם שדה של SID
ומשייך כל משתמש ל SID שהשרת פתח לו בהתחברות
ואז לבדוק בקוד אם יש שני SID בשרת ובDB שהם אותם הדבר אותם פרטים בדיוק
(UA סיסמה שם משתמש וקוד אבטחה)
ואם קיים דבר שכזה לדרוס את המידע של המתמש בDB
ולהפנות לעמוד התנתקות שם ימחק למשתמש הקוקיס ורק אחרי התחברות מחדש עם קוד אבטחה חדש אפשר לחסום את זה
&nbsp
מה אומר?

 

[עוץליגוץלי]

2 הוא המצב כיום, והוא מאד בעייתי.

 

[moty127]

אז הגיע שאלת השאלות

כיצד ניתן לעשות בקשת חיבור כמו בנתבים שהשם המשתמש והסיסמה מגיעים מ DB אפשרי עם MYSQL?

 

[עוץליגוץלי]

יש הבדל בין נתבים יקרים ונתבים זולים.

ביקרים - יש מעבד "סביר" (נניח arm7) שמריץ לינוקס, ואז כבר יש לך הכל.
&nbsp
בזולים יש מעבד חלש יותר, שמריץ קוד embedded ישירות ואין לך יותר מדי לוקסוסים (גם את הtcp stack תכתוב לבד). בכל אופן - גם אם שם המשתמש והססמא שמורים ביותר - אם התעבורה לא מוצפנת, אתה חשוף.

 

[moty127]

DDWRT

https://www.youtube.com/watch?v=ZVKoy_z3aj4

 

[עוץליגוץלי]

מה הקשר? DWRT הוא ליבת לינוקס

עם שינויים שערכה חברת לינקסיס. מריץ apache כשרת WEB, עם fast-cgi וניתן ללא כל בעיות להוסיף עליו גם ssl. צעצוע חביב בהחלט. דרך אגב, ללא SSL אין כל בעיה "לפרוץ" אליו מרשת WIFI ביתית. מספיק משהו שיכול להריץ wireshark וחיבור פשוט לרשת. (נניח - אם יש לי ססמה לWIFI שלך, ואין לי סיסמת ADMIN, הטלפון שלי יעשה את זה בקלות).
&nbsp
זה לא בקר מתוכנת זול ועני בזכרון, נדרש לפחות שמונה מגה ביית כדי לטעון את זה.
ה"שרת" שאני מתיחס אליו מכיל 64K זכרון RAM, והוא נאלץ (גם) להתמודד עם פתיחת דחיסה של קבצים on-the-fly לפני משלוח ...
&nbsp
http://vero.ddc.co.il/fp/index_fp.html

 

[moty127]

תגיד

שאלה חשובה
אם DDWRT רץ על לינוקס כמו שאתה אומר
וזה די נכון כן כי זה דבר מטורף
אז איך הפאנל ניהול שלו בנוי מקבצי ASP ו CGI ???
איך בכלל זה יכול להריץ ASP על לינוקס אח כמה שחיפשתי

 

[עוץליגוץלי]

https://www.flashrouters.com/learn/router-basics/what-is-dd-

https://www.flashrouters.com/learn/router-basics/what-is-dd-wrt

 

[עוץליגוץלי]

ואחרי עיון בקוד המקור של dd-wrt

נראה שהקוד בכלל כתוב ב-C למרות שהסיומת היא ASP. לדוגמה - עיין בקבצים בתיקייה
&nbsp
~\dd-wrt-master\src\linux\adm5120\linux-2.6.23\sound\pci\cs46xx\imgs\
&nbsp
שעשוע נעים לך!

 

[moty127]

אני מדבר על השלב של אחרי ההתקנה

dd-wrt-master\src\router\kromo\dd-wrt

 

[moty127]

מה זה הקוד הזה

<% do_pagehead("ddns.titl"); %>
<% tran("share.usrname"); %>
<% nvc("reconnect_enable","1"); %>

 

[עוץליגוץלי]

זה בהחלט לא שפה שאני מכיר.

ומניסוח שאלתך אני מבין שזה ASP.

 

[moty127]

גם אני לא

רק את התגיות
הזכיר לי קצת שפת .W
אם יצא לך להכנס לפאנל ניהול זה כתובת כזאת:
http://192.168.1.1/INDEX.ASP
http://192.168.1.1/DDNS.ASP

 

[moty127]

ובכניסה לעמודים האלו

מתבצעת זיהוי לפי השמות משתמשים של הלינוקס כמו ששאלת
נפתח לך חלון עם שם משתמש וסיסמה ואם הפרטים לא נכונים הפניה לעמוד 401
Firewall.asp