B
Оо, помню как в одном магазине сессия генерилась на основе timestamp 😄
Size: a a a
2020 May 15
GD
Мне кажется, что сессионные идентификаторы генерятся на основе ГПСЧ (как в пыхе например), хранятся внутри, а потом уже сравнивают клиента и серверный секрет, а скрафтить самому ничего не выйдет
звучит похоже на это
MM
Мне кажется, что сессионные идентификаторы генерятся на основе ГПСЧ (как в пыхе например), хранятся внутри, а потом уже сравнивают клиента и серверный секрет, а скрафтить самому ничего не выйдет
Про гспч понятное дело, но может есть какая-то техника Крафта сессии кроме папки с примерами в томкате..
MM
На то оно и сессии, а не jwt. Весь Стейт это данные внутри файла/базы и если пользак предъявляет айдишку, то его авторизует. Это понятно. Но бывают интерфейсы для прописывания подобного на сервер
B
B
... надо смотреть исходник механизма сессии
B
/**
* Queue of random number generator objects to be used when creating session
* identifiers. If the queue is empty when a random number generator is
* required, a new random number generator object is created. This is
* designed this way since random number generators use a sync to make them
* thread-safe and the sync makes using a single object slow(er).
*/
private final Queue<SecureRandom> randoms = new ConcurrentLinkedQueue<>();
private String secureRandomClass = null;
private String secureRandomAlgorithm = "SHA1PRNG";
private String secureRandomProvider = null;
Ууу
VP
недавно видел забавный кейс в Go, когда мало того что использовали не crypto/rand, а math/rand, так еще и не смогли правильно прописать seed.
В итоге в приложении цифровой OTP генерился вот так (если не очевидно, запустите код на примере несколько раз и посмотрите резалт):
https://tour.golang.org/basics/1
В итоге в приложении цифровой OTP генерился вот так (если не очевидно, запустите код на примере несколько раз и посмотрите резалт):
https://tour.golang.org/basics/1
B
недавно видел забавный кейс в Go, когда мало того что использовали не crypto/rand, а math/rand, так еще и не смогли правильно прописать seed.
В итоге в приложении цифровой OTP генерился вот так (если не очевидно, запустите код на примере несколько раз и посмотрите резалт):
https://tour.golang.org/basics/1
В итоге в приложении цифровой OTP генерился вот так (если не очевидно, запустите код на примере несколько раз и посмотрите резалт):
https://tour.golang.org/basics/1
У ПТ классный доклад был на кораблике defcon russia
VP
У ПТ классный доклад был на кораблике defcon russia
че то так сходу не ищется по ключевым словам
B
недавно видел забавный кейс в Go, когда мало того что использовали не crypto/rand, а math/rand, так еще и не смогли правильно прописать seed.
В итоге в приложении цифровой OTP генерился вот так (если не очевидно, запустите код на примере несколько раз и посмотрите резалт):
https://tour.golang.org/basics/1
В итоге в приложении цифровой OTP генерился вот так (если не очевидно, запустите код на примере несколько раз и посмотрите резалт):
https://tour.golang.org/basics/1
Там тоже seed был
1) он был один на всех
2) задавался при старте системы
3) был timestamp'ом запуска приложения
4) в твиттере писали когда сервер перезагрузился
1) он был один на всех
2) задавался при старте системы
3) был timestamp'ом запуска приложения
4) в твиттере писали когда сервер перезагрузился
B
Ща найду
MM
С хреновым гспч в жизни видал норм пример)
B
Там тоже seed был
1) он был один на всех
2) задавался при старте системы
3) был timestamp'ом запуска приложения
4) в твиттере писали когда сервер перезагрузился
1) он был один на всех
2) задавался при старте системы
3) был timestamp'ом запуска приложения
4) в твиттере писали когда сервер перезагрузился
@prosailor мы тут тебя вспоминаем, кинь презу
B
А не, в интернетах есть
VP
спасибо, сейчас заценим
S
@prosailor мы тут тебя вспоминаем, кинь презу
Привет!
Мы ресёрч вместе с Игорем Коныгиным делали
Видео с презентации на PHDays
https://www.youtube.com/watch?v=rQiUOVmEhfs
Презентация с доклада
https://static.ptsecurity.com/phdays/presentations/phdays-9-luarocks-vulnerabilities.pdf
Демонстрация эксплуатации
https://www.youtube.com/watch?v=-_3XTK2f4Hg
Мы ресёрч вместе с Игорем Коныгиным делали
Видео с презентации на PHDays
https://www.youtube.com/watch?v=rQiUOVmEhfs
Презентация с доклада
https://static.ptsecurity.com/phdays/presentations/phdays-9-luarocks-vulnerabilities.pdf
Демонстрация эксплуатации
https://www.youtube.com/watch?v=-_3XTK2f4Hg
S
С кораблика DefCon видео увы нет, там не писали.
Но презентация не сильно отличается, по сути
Но презентация не сильно отличается, по сути