Какой рейтинг вас больше интересует?
|
Главная / Главные темы / Тэг «cookie»
PHP: Хранение сессий в защищённых куках 2017-04-04 13:05:04
+ развернуть текст сохранённая копия
На некоторой стадии развития веб-проекта возникает одна из следующих ситуаций:
- backend перестаёт помещаться на одном сервере и требуется хранилище сессий, общее для всех backend-серверов
- по различным причинам перестаёт устраивать скорость работы встроенных файловых сессий
Традиционно в таких случаях для хранения пользовательских сессий начинают использовать Redis, Memcached или какое-то другое внешнее хранилище. Как следствие возникает бремя эксплуатации базы данных, которая при этом не должна быть единой точкой отказа или бутылочным горлышком в системе.
Однако, есть альтернатива этому подходу. Возможно безопасно и надёжно хранить данные сессии в браузерной куке у самого пользователя, если заверить данные сессии криптографической подписью. Если вдобавок к этому данные ещё и зашифровать, то тогда содержимое сессии не будет доступно пользователю. Главное достоинство этого способа хранения в том, что он не требует централизованной базы данных для сессий со всеми вытекающими из этого плюсами в виде надёжности, скорости и масштабирования. Читать дальше →
Тэги: cookie, cookies, encrypted, hmac, php, session, sessions, signed, symfony, веб-сайтов, криптография, куки, подписанные, разработка, сессии, шифрованные
[Багхантинг] Blind XSS уязвимость на сайтах службы поддержки omnidesk 2017-02-21 13:03:29
Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, ...
+ развернуть текст сохранённая копия
Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, увидел посев (реклама в социальных сетях) групп с бесплатными ключами vk.com/ ******* и vk.com/ *****. Посевы эти дорогие, производились в группах от 250 000 до 5 000 000 подписчиков, например в группе Наука и Техника. Группы предлагали каждому бесплатный ключ за подписку. Примерно через полмесяца увидел, что первая группа выросла до 109 тысяч подписчиков. Тут любому понятно, что бесплатный ключ люди не получат, ведь бесплатных ключей на 100 к человек не «напасешься». Немного осмотрев группу, я понял что «реальные» отзывы о получении бесплатных ключей подделка, ведь скриншоты из отзывов все время кидают одинаковые и ссылки на людей поддельные.
Самое интересное то, что люди на всё это до сих пор ведутся, вступают в группу в надежде на бесплатный ключ, делают репост в надежде на то, что им повезет и они выиграют дорогой игровой PC( но мы то знаем, что никто PC не получит), когда они хотят получить что-то бесплатно, ими легко манипулировать для своих целей.
Вся суть постов в группе — это реклама реферальной ссылки на сайт ***random.ru и получение выгоды.
Посмотрим на него.
Читать дальше →
Тэги: blind, cookies, it-систем, omnidesk, omnidesk.ru, qiece, securityz, securityz.net, serpstat.com, steam, stored, support.omnidesk.ru, vulnerability, w9w, xss, безопасность, бесплатные, веб-сайтов, веб-сервисов, игр, игры, информационная, клиентов, ключи, кража, поддержки, подмена, пример, программирование, разработка, сервис, слепая, тестирование, уязвимость, хранимая, хсс
Browser Fingerprint – анонимная идентификация браузеров 2017-02-06 22:02:41
+ развернуть текст сохранённая копия
Валентин Васильев (Machinio.com)
Что же такое Browser Fingerprint? Или идентификация браузеров. Очень простая формулировка — это присвоение идентификатора браузеру. Формулировка простая, но идея очень сложная и интересная. Для чего она используется? Для чего мы хотим присвоить браузеру идентификатор?
- Мы хотим учитывать наших пользователей. Мы хотим знать, пришел ли пользователь к нам первый раз, пришел он во второй раз или в третий. Если пользователь пришел во второй раз, мы хотим знать, на какие страницы он заходил, что он до этого делал. С анонимными пользователями это невозможно. Если у вас есть система учета записей, пользователь логинится, мы все про него знаем — мы знаем его учетную запись, его персональные данные, мы можем привязать любые действия к этому пользователю. Здесь все просто. В случае с анонимными пользователями все становится гораздо сложнее.
Читать дальше →
Тэги: (онтико), cookie, frontendconf, javascript, блог, браузеры, бунина, валентин, васильев, веб-сайтов, компании, конференции, олега, разработка
Как использовать SELF XSS в формах входа/восстановления пароля/регистрации 2017-01-11 16:15:15
Добрый день. В этой статье я расскажу, как правильно эксплуатировать SELF XSS, чтобы получить ...
+ развернуть текст сохранённая копия
Добрый день. В этой статье я расскажу, как правильно эксплуатировать SELF XSS, чтобы получить за неё деньги в баг баунти или взломать пользователя/админа.
Я писал эту статью полгода назад в своём блоге на wordpress для англоязычных пользователей, решил её написать на русском здесь. Уверен, что это тема актуальная сейчас с быстрым появлением различных bug bounty программ и будет многим интересна.
Итак, у нас есть хранимая или отраженная XSS в форме восстановления пароля.
Но мы не можем осуществить атаку на пользователя, так как это не XSS в учетной записи. И если мы не можем прислать юзабельный PoC, то эта уязвимость класифицируется как SELF XSS, она не опасная и не может претендовать на большую награду в Bug Bounty!
Читать дальше →
Тэги: account, bounty, bug, cookies, hacked, html, injection, it-систем, privatbank, qiece, securityz, self, vulnerability, xss, баг, баунти, безопасность, веб-сайтов, веб-сервисов, взлом, информационная, приватбанк, программирование, разработка, тестирование, уязвимость
Cookie Decorating and Cocktails: Themed Parties For the Holiday Season 2016-06-29 17:17:29
... beloved traditions is cookie decorating before Christmas ... a Cookie Decorating Party Works A cookie ...
+ развернуть текст сохранённая копия
The holidays are upon us, and one of the most timeless, beloved traditions is cookie decorating before Christmas time. Instead of setting aside an afternoon to bake batch after batch of Christmas cookies, why not plan a full-blown cookie decorating party to include friends and family? How a Cookie Decorating Party Works A cookie decorating […]
Тэги: cocktails:, cookie, decorating, holiday, natural, parties, themed
Страницы: 1 2 3 4 5 6 7 8 9 10 11
Главная / Главные темы / Тэг «cookie»
|
Взлеты Топ 5
Падения Топ 5
|