会话通过HTTP劫持

时间:2013-11-22 16:39:47

标签: security http https

我注意到很多非常大的网站都会让您使用HTTPS登录,然后在我登录后立即切换回HTTP(myfitnesspal.com,pluralsight.com)。如果我使用数据包嗅探器,我可以看到会话ID cookie并验证请求是通过HTTP发送的。这是不是意味着有人可以轻易劫持我的会话,如果他们正在倾听,或者还有其他我想念的东西?此外,在类似的说明中,除了服务器上的额外计算之外,我是否有任何理由想要通过HTTPS使用HTTP?

2 个答案:

答案 0 :(得分:3)

这取决于会话的处理方式。服务器可能正在处理两个会话。一个是安全的,一个是无担保的。

当您登录这些网站时,他们可能会设置两个会话Cookie,一个用于浏览,另一个用于安全访问管理员/帐户管理/结帐区域。第二个cookie将被标记为“SECURE”,并且只能通过TLS / SSL连接发送。在正常浏览时,仅使用不安全的连接,并且仅用于维护会话中的状态,但是当您进入帐户管理,结帐等时,您将切换回安全会话以实现这些目的。如果自上次安全访问以来时间过长,可能会要求您重新进行身份验证。

因此,虽然您的浏览会话可能会被劫持,但不太可能(如果实施得当)您的帐户可能会因此受到损害。

答案 1 :(得分:0)

你可以看到会话cookie如果标记不安全,或者例如,如果你看到你的局域网上的wireshark并搜索HTTP,你会查看你的例子的流量:pluralsight,你只需按下TCP STREAM在你登录网站的HTTP连接之后,你在http数据流上看到了它,只需收集sessionid并抓住greasemonkey(firefox工具)+会话劫持:并按ctrl + v收集你的sessionid,你就会亲眼看到它是一个漏洞。