¿Puede un sitio web pretender ser otro sitio web y robar cookies que pertenecen al otro servidor?

Hay cuatro métodos principales utilizados para perpetrar un secuestro de sesión. Estos son:

  • Fijación de sesión, donde el atacante establece el identificador de sesión de un usuario en uno conocido, por ejemplo, enviando al usuario un correo electrónico con un enlace que contiene un identificador de sesión particular. El atacante ahora solo tiene que esperar hasta que el usuario inicie sesión.
  • Sidejacking de sesión, donde el atacante usa la detección de paquetes para leer el tráfico de red entre dos partes para robar la cookie de sesión. Muchos sitios web usan el cifrado SSL para las páginas de inicio de sesión para evitar que los atacantes vean la contraseña, pero no usan el cifrado para el resto del sitio una vez autenticado. Esto permite a los atacantes que pueden leer el tráfico de la red interceptar todos los datos que se envían al servidor o las páginas web visitadas por el cliente. Dado que estos datos incluyen la cookie de sesión, le permite suplantar a la víctima, incluso si la contraseña en sí no se ve comprometida. [1] Los puntos de acceso Wi-Fi sin garantía son particularmente vulnerables, ya que cualquier persona que comparta la red generalmente podrá leer la mayor parte del tráfico web entre otros nodos y el punto de acceso.
  • Secuencias de comandos entre sitios, donde el atacante engaña a la computadora del usuario para que ejecute un código que se considera confiable porque parece pertenecer al servidor, lo que permite al atacante obtener una copia de la cookie o realizar otras operaciones.
  • El malware y los programas no deseados pueden usar el secuestro del navegador para robar los archivos de cookies de un navegador sin el conocimiento del usuario, y luego realizar acciones (como instalar aplicaciones de Android) sin el conocimiento del usuario. [2] Un atacante con acceso físico puede simplemente intentar robar la clave de sesión, por ejemplo, obteniendo el contenido del archivo o la memoria de la parte apropiada de la computadora del usuario o del servidor.

Referencia: secuestro de sesión

Related Content

¿Qué tan fácil es integrar Flash con HTML si se desarrollan por separado?

¿Alguien puede ayudarme con la implementación de la aplicación web Golang en el océano digital?

¿Por qué necesitamos un servidor VPS para blog?

¿Qué tan importante es el SEO para el éxito de un nuevo sitio web?

¿Qué idiomas debo dominar para crear aplicaciones web front-end de calidad?

La respuesta corta es no. La tecnología de cookies, al no ser perfecta, tiene un mecanismo de seguridad para entregar la cookie desde el navegador al servidor correcto, verificando el dominio.

Algún tipo de ataques como el spoofing de DNS pueden estropear las cosas. Los sitios web TLS (https) son mucho mejores para proporcionar protección a la comunicación general, incluidas las cookies.

Ziad Alame

More Interesting

¿Cuál es mejor para aprender stack medio o PHP?

¿Qué hace un desarrollador web?

Una vez que tenga una comprensión básica de Java, ¿debería mejorar mis habilidades de Java desarrollando aplicaciones de Android o aprendiendo Spring servlet para servicios web?

¿Por qué los sitios web no tienen menús de 'clic derecho'?

¿Cuáles son las tendencias de diseño del desarrollo web de comercio electrónico?

¿Hay buenos programadores para el raspado de datos y el rastreo web en India?

Cómo poner en línea un sitio web alojado localmente

¿Qué idiomas, en orden, se deben aprender al querer convertirse en un desarrollador web front-end? ¿Qué pasa con un desarrollador web full stack?

¿Cuál debería preferir el sitio web de WordPress o la codificación escrita a mano?

¿Dónde puedo crear mis propios archivos Javascript y luego ejecutarlos y ver qué sucede?

¿Es viable ahora crear botones e íconos únicos para aplicaciones web o aplicaciones móviles con Photoshop?

Como desarrollador experimentado de Java, ¿qué habilidad debo agregar UI (HTML, CSS, JS, Bootstrap y Angular) o Big Data (Hadoop, MongoDB, Spark, PIG, Hive). ¿Qué será lo más útil en el futuro?

¿Hay un script como Ratemyprofessor.com?

Habiendo entendido HTML, CSS y JS (algunos JQuerry incluidos), ¿dónde debería comenzar en el back-end para crear sitios web dinámicos (tengo algo de experiencia de nivel medio con Python)? ¿Qué debo comenzar a aprender?

¿Puedo crear un sitio web comercial similar a The Knot con WordPress?