22019,

1/1101

hackers1234

xss 쿠키값으로 다른 사람으로 로그인하기 문의

http://www.hackerschool.org/HS_Boards/zboard.php?AllArticle=true&no=31492 [복사]

제가 테스트해볼려구, 제 쿠키를 xss 로 따로 저장한후,,

그 쿠키값을 쿡시툴바에서 쿠키수정으로 적용했어요.

그런데 어떨땐 되고 어떨땐 안되네요. 이유는 아리송합니다.

여기서 문의..

1) 쿠키값이 사이트마다 종류가 다양하게 많이 있던데, 이 쿠키값에서 어떤값을 적용해야 그 쿠키값으로 로그인이 되나요? (전부다 맞춰줘야 되나요?)

2) 만약에 abcd01 이라는 아이디의 쿠키값을 따로 보관하고 있습니다. 그런데 abcd01이 로그아웃을 했어요. 그럼 abcd01의 쿠키값은 더이상 못쓰나요? 폐기처분 되는건가요?

3) xss로 뺴온 쿠키값을 언제까지 사용할수 있나요? 웹서버에서 지정한 시간에 따라 각기 틀린가요?
   만약에 웹서버에서 10일짜리 쿠키값을 구워줬다면, 그 쿠키값은 10일동안 쓸수 있나요? 그치만 로그아웃 하면 바로 폐기인가요?

4) 쿠키에서 필수로 하는 값들이 뭐가 있나요? 사이트마다 조금 다르긴 한데,
    구글크롬에서 쿠키모듈을 보니까 쿠키를 추가하기 위해서는 4가지 항목이 있더라구요.
    값,도메인,경로,기한   <--이렇게 4가지가 있는데 여기서 필수항목이 뭔가요 ? 전부다 입력해줘야 그 쿠키값으로 적용이 되나요?

5) xss로 취득한 쿠키값은 그 해당 사이트밖에 못쓰나요? 도메인으로 취급한다고 들었어요.

6) xss로 취득한 쿠키가 만약에 익스플로러 11로 접속된 쿠키값이면,
   익스플로러 10에서는 쿠키값으로 적용해도 적용이 안되나요?
   아니면 같은 익스플로러는 되구, 크롬이나 파폭에서는 적용이 안되나요?
   아니면 브라우저 버젼별 상관없이 다 되는건가요?

6)
아래는 제 쿠키값인데요. 이건 제껀데도 제가 쿠키값 적용해도 적용이 안됩니다.
왜그런걸까요? 어떨때는 적용이 되서 적용후 새로고침하면 로그인이 되던데, 안될때가 더 많더라구요..

wcs_bt=43fbfaf92e5ac0:1389434049; user-agent=26ca8ea8e60136335e5e56fd8bbfc4d6; mobile=false; PHPSESSID=kn8lhshvr7bcgki6jnttlekf23

위에서 user-agent 값도 필수항목인가요?
만약 위에 쿠키값을 구글 크롬 쿠키모듈에 적용하려면 "값,도메인,경로,기한" 여기에 값에다가 전부 복사해서 집어넣으면 되나요?

Hit : 8871 Date : 2014/01/12 03:06


cd80	세션하이재킹은 좀 중요한사이트면 대부분 방어하고있어요 ㅋㅋ 질문들이 너무많아서.. 몇가지만 말씀드리면 세션하이재킹은 보통 클라이언트 아이피를 세션 파일에 넣어두고 맞는지 여부를 보고 검증하는경우가 많구요 브라우저 UA같은경우도 넣어서 검증할때가 있습니다 로그아웃을 대형사이트에선 좀더 처리를 해주겠지만 결국 세션 정보를 삭제하는걸로 로그아웃처리를 합니다 이때 사용하는 함수가 php에서 session_destroy()인데 이는 세션파일의 정보를 삭제하지 쿠키를 삭제하진 않습니다 따라서 쿠키에 저장돼있는 SESSIONID는 삭제되지 않고 다음 로그인때 다시 사용됩니다 웹 프로그래밍을 조금만이라도 공부해보시면 이해 되실것같아요	2014/01/12