欲知问题答案,请访问http://mdsec.net/wahh。
(1)登录一个应用程序后,服务器建立以下cookie:
通过这些cookie,可以得出什么推论?
(2)某个应用程序使用由6个字符组成的数字字母会话令牌和由5个字符组成的数字字母密码。它们全都由某种无法预测的算法随机生成。其中哪一个最有可能成为蛮力猜测攻击的目标?列出影响你做出决策的各种不同因素。
(3)登录位于以下URL的一个应用程序:
服务器建立以下cookie:
然后访问下面的URL。浏览器会将sessionId cookie提交给哪些URL?(选出全部答案。)
(a)https://foo.wahh-app.com/login/myaccount.php
(b)https://bar.wahh-app.com/login
(c)https://staging.foo.wahh-app.com/login/home.php
(d)http://foo.wahh-app.com/login/myaccount.php
(e)http://foo.wahh-app.com/logintest/login.php
(f)https://foo.wahh-app.com/logout
(g)https://wahh-app.com/login/
(h)https://xfoo.wahh-app.com/login/myaccount.php
(4)所针对的应用程序除使用主会话令牌外,还使用每页面令牌。如果收到一个不按顺序发送的每页面令牌,整个会话将被终止。假设发现了某种缺陷,可通过它预测或截获应用程序发布给当前正在访问应用程序的其他用户的令牌。那么能够劫持他们的会话吗?
(5)登录一个应用程序后,服务器建立以下cookie:
单击“退出”按钮后,应用程序执行以下客户端脚本:
通过这种行为,可以得出什么结论?