Задать вопрос

Возможно ли авторизоваться если злоумышенник получит чужие куки?

Если злоумышленник подделает http заголовки и cookie чужого человека сможет ли он авторизоваться?
Например, если он сделает curl запрос в котором user agent такой же как у жертвы и заголовок cookie также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти куки, трояном или как нибудь еще.
  • Вопрос задан
  • 498 просмотров
Подписаться 3 Простой Комментировать
Решения вопроса 2
mayton2019
@mayton2019
Bigdata Engineer
С точки зрения современного инфо-беза логин + пароль - уже не танцуют.
Сейчас - основной упор на безопасность - это многофакторка. И время сессии
желательно как можно меньше. Например 15 минут. В кабинетах банков так уже делают.

Если злоумышленник у вас угнал куки то у него есть очень мало времени чтобы ими
воспользоваться иначе надо будет доставать как-то ваш телефон или RSA-брелок.

Кроме того сами методы многофакторки рандомно меняются. Банк для авторизации
входа может позвонить голосом. Чтоб подтвредить. Может попросить ввести число
с генератора в MSAuth/Okta/Duo. Или приложить палец к сканеру отпечатков.

Тоесть кража самих кукисов - влечет для нас целый квест вопросв и ответов которые нужно
дальше спрашивть прежде чем сказать что-то утвердительно.
Ответ написан
Комментировать
Adamos
@Adamos
Откинем в сторону вопрос как он получил эти куки, трояном или как нибудь еще.

Напрасно вы его откидываете. Обычно логин с паролем у юзера лежат примерно там же, где куки, так что и рефлексировать насчет их небезопасности стоит с трезвой оценкой безопасности альтернатив.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@pfg21
ex-турист
может, авторизация без запроса логин/паролей аккурат через куки и работает.
Ответ написан
ThunderCat
@ThunderCat
{PHP, MySql, HTML, JS, CSS} developer
Если злоумышленник введет логин и пароль чужого человека сможет ли он авторизоваться?
Например, если он сделает curl запрос в котором user agent такой же как у жертвы и пароль и логин также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти данные, трояном или как нибудь еще.
Ответ написан
BasiC2k
@BasiC2k
.NET developer (open to job offers)
Имея чужие куки ЛЕГКО выполнять любые действия пользователя на стороннем сайте.
Я делал проект, где куки через Chrome Extension отправлялись на сторонний сервер и там выполнялись действия по автоматизации. Да, некоторые сайты сверяют IP, время, часовой пояс. Но это уже детали.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы