Paweł Goleń, blog

O session fixation wspominałem już kilka razy, między innymi tu: Dlaczego należy zmienić identyfikator sesji po uwierzytelnieniu.

Dawno, dawno temu przygotowałem ten przykład Lekcja 21: Przykład – phishing na formatce logowania z wykorzystaniem XSS, ale nie wzbudził on specjalnego zainteresowania. Dziś postanowiłem go trochę zmodyfikować i teraz oprócz phishingu (jeśli ktoś chce, nadal może go sobie poćwiczyć), można na nim również przećwiczyć session fixation. Zadanie nie jest zbyt wymagające, choć przyda się trochę pomysłowości. Chodzi o to, jedyne cookie PHPSESSID wysłane przez przeglądarkę klienta przy próbie logowania było tym, które ustawi atakujący.

Zapraszam: http://bootcamp.threats.pl/lesson21/.

Oryginał tego wpisu dostępny jest pod adresem Poćwicz sobie Session Fixation

Autor: Paweł Goleń