Arkadaşlar merhaba, bu konuda sizlere Session ID ile Oturum Ele Geçirme konusundan bahsedicem. Önceki konuda incelediğimiz kontrol adımlarından biri olan “Kullanıcı oturumu anahtarının kullanıcı bilgilerini her girdiğinde yenilenmesi doğrulanmalıdır.” adımı yerine getirilmezse, son kullanıcı için risk oluşturur. Elde edilecek Session ID bilgisi bir cookie editör yardımıyla kulllanılarak hedef kullanıcının oturumuna geçiş yapılabilir.
Firefox Cookie Editör : https://addons.mozilla.org/tr/firefox/addon/cookie-editor/
Bu konunun uygulamasını http://testasp.vulnweb.com/ sitesi üzerinden göstericem. Öncelikle 2 farklı browserden girerek “ahmet” ve “birkan” şeklinde 2 hesap oluşturuyorum.
ahmet kullanıcısının oturum id si birkan kullanıcısının browserine kaydedilip, sayfa yenilendiği zaman, birkan kullanıcısının yerinede ahmet kullanıcısına geçiş yapılmış oluyor.