30/10/2006, 20:09
|
| O_O | | Fecha de Ingreso: enero-2002 Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 23 años, 2 meses Puntos: 129 | |
Cita:
Iniciado por foo  va de la mano en parte, puesto que un ataque xss permitiria conocer el valor de PHPSESSID y hacer que 2 usuarios compartan la misma sesion
como se puede ver en [1], se puede hacer este ataque sin necesidad de que la pagina en cuestion sea vulnerable a xss
en general este ataque se produce porque no compruebas que ya exista una sesion valida, ni regeneras el id de la sesion al momento de asignar los nuevos datos.
[1] http://shiflett.org/articles/security-corner-feb2004 Gracias,
Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |