Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- robatori_sessio_web [2022/01/24 10:56]
enrique_mieza_sanchez creat
+++ robatori_sessio_web [2022/10/14 08:23] (actual)
enrique_mieza_sanchez [Robatori de sessió o session hijack]
@@ Línia 6: / Línia 6: @@
 La manera més efectiva d'evitar aquesta vulnerabilitat és disposar de certificats HTTPS vàlids. Amb aquesta mesura seria molt difícil interceptar les cookies.
-{{tag> #FpInfor #Ciber #Ceti #CiberMp03 #CetiMp03 #Daw #DawMp07 }}
+{{tag> #FpInfor #Ciber #Ceti #CiberMp03 #CetiMp03 #CiberMp05 #CetiMp05 #Daw #DawMp07 }}
+\\
 ===== Robatori de sessió PHP amb Wordpress =====
-  - Obrir 2 navegadors diferents (o dues sessions privades d'un).
+Requisits:
+  * Dos navegadors diferents amb les eines de desenvolupador activades.
+    * També pots agafar una pestanya d'un navegador en mode incògnit (equival al navegador A) i una altra pestanya normal (navegador B).
+  * Una instal·lació de Wordpress pròpia.
+<WRAP todo>
+Guia:
+  - Obrir 2 navegadors diferents A i B (al menys ha funcionat amb A=chromium i B=firefox)
   - Obrir sessió Wordpress i logar-se al navegador A.
   - Visualitzar main page al navegador B.
-  -
+  - Torna al navegador A (logat) i inspecciona les //cookies// mitjançant<code>Inspecciona -> Emmagatzemament</code>
+  - Trasllada les següents //cookies// del navegador A al B, copiant clau/valor i prenent cura de la resta de paràmetres (HttpOnlu, domain, path, SameSite, Secure)
+    * ''wordpress_logged_in_''
+    * ''wordpress_sec_''
+    * ''wordpress_test_cookie''
+  - Recarrega la pàgina del navegador B... voilà! You are in!
+  - Comprova que si tanques la sessió en un dels navegadors, l'altre també surt de la sessió. Explica què passa a baix nivell dins el servidor per justificar el què ha succeït.
+</WRAP>

bytes.cat

Eines de l'usuari

Eines del lloc

Diferències

Eines de la pàgina