Questions tagged «session-hijacking»

3
Yahoo Mail漏洞导致没有主题和单个链接的电子邮件
最近,我收到了雅虎邮箱(或使用雅虎邮箱的sbcglobal.net)的朋友的随机电子邮件,没有主题和一些我不打算点击的随机网址。 起初我以为有人得到了他们的密码,我建议他们更新密码。 我刚收到一封来自上周更改密码的人的电子邮件。 这是某种跨站点脚本漏洞吗?有没有什么方法可以找出其中一条消息的接收者? 以下是最近邮件中的一些标题: Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT X-Mailer: YahooMailWebService/0.8.118.349524 Message-ID: <1340814210.6602.YahooMailNeo@web83806.mail.sp1.yahoo.com> Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT) 收到的标题中列入黑名单的IP来自挪威的动态IP。 所以我假设IP上的机器能够获取我朋友的Yahoo Mail cookie并用它向她的地址簿中的人发送电子邮件。这听起来准确吗?即使有人使用HTTPS连接到Yahoo Mail,特制的电子邮件也许可以提取cookie并通过RPCXML调用将其传递到其他地方,对吧? 那么如何从这样的攻击中获取Yahoo Mail帐户呢? 更新:我现在收到了来自四个不同人的电子邮件。这显然不是一个孤立的事件,雅虎邮件的用户肯定可以做些什么来保护自己。

2
注销会终止服务器端的会话
当我登录网站时,在服务器上创建活动会话,并且我的浏览器通过在每个请求上将该会话的标识符发送到服务器来保持其“登录”状态。 这种方法的问题是人们可能能够窃取你的cookie(通过cookie嗅探)。问题是,注销实际上是否会杀死服务器端的cookie? 我想这取决于服务器以及服务器端语言。那么,例如,在Apache上结束PHP会话实际上会使会话标识符无效吗?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.