web-dev-qa-db-ja.com

弱いセッションCookieの識別、分析、および予測

これについて詳しく説明するために、私はこれをハッカー/侵入テスターの観点から見ています。弱いCookieを使用していることがわかっているWebアプリケーションを何度も目にしました。何百、何千ものログイン要求を発行でき、サーバーが応答するセッションCookieには顕著なパターンがあるため、これを知ることができます。たとえば、一部のセッションCookieでは、すべてのセッションCookieに文字が繰り返されます(たとえば、13文字のセッションCookieの最初の6文字はすべて同じです)。その他は時間に基づいて生成されるので、大量のログイン要求を同時に発行すると、サーバーは同じセッションCookieで応答します(サーバーが秒/分に基づいてCookieを生成すると想定)。

これらの種類のパターンは簡単に目立ちますが、人間にとってはそれほど簡単ではないパターンもいくつかあります。

だから私の2つの質問:

1)Cookieの強度を判断する方法とツールはありますか?

2)弱いセッションCookieが特定されたら、セッションCookie生成アルゴリズムを分析およびリバースエンジニアリングするにはどうすればよいでしょうか。 (ここでの最終目標は、最終的にセッションCookieを予測できるようになることです)

8
tifkin

BurpにはセッションID分析ツールがあります ですが、正直に言って、その出力は意味をなさず、侵入テスターとして、この機能が発見につながったことはありません...

セッションハンドラーを監査する場合、そのソースコードを見て、使用しているエントロピーソースによって判断します。

Blabkbox評価では、複数回認証してもセッションIDが変更されない場合、アプリケーションがパスワードハッシュをセッションIDとして使用している可能性があります。このゴミを書いた開発者は解雇されるべきであり、この程度の無能の言い訳はありません。 (Wordpress、私はあなたを見ています)

4
rook