shikata ga nai

Private? There is no such things.

“Remember Me” FunctionalityのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ

 

「RememberMe」機能の手順を。

 

1.「remember me」機能をアクティブにして。

  その機能が実際にユーザを完全に「記憶」するかどうか。

  またはユーザ名のみを記憶し、その後のアクセス時にパスワードの入力を

  要求するかどうかを判断します。

  後者の場合、機能がセキュリティ上の欠陥を明らかにする可能性は

  はるかに低くなります。

 

2.設定されているすべての永続Cookieと、Internet ExplorerのuserData、

  Silverlight分離ストレージ、Flashローカル共有オブジェクトなどの

  他のローカルストレージメカニズムに永続化されているデータを

  綿密に検査します。

  ユーザを明示的に識別する、またはユーザの予測可能な識別子が

  含まれているように見える保存データを探します。

 

3.保存されたデータが高度にエンコードまたは難読化されているように

  見える場合でも、これを注意深く確認してください。

  いくつかの非常に類似したユーザ名やパスワードを「記憶」した結果を比較して、

  元のデータをリバースエンジニアリングする機会を特定します。

  ここでは、セッショントークンの意味とパターンを検出します。

 

4.永続的なCookieの内容を変更して、別のユーザが自分の詳細を

  コンピュータに保存したことをアプリケーションに納得させようとします。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain