***Cookies***

Iniciado por _- Xhenox -_, 26 Junio 2012, 21:05 PM

0 Miembros y 1 Visitante están viendo este tema.

_- Xhenox -_

Hola a todos, he leido algunos comentarios y me gustaria haceros o preguntaros una pregunta.
""-> Es verdad que puedes sacar las Passwords de correos electronicos de los ("Cookies") <-""

Os pregunto esto, por que mi tio me hizo esa putada cuando me pele con el, yo no lose como carajos Saco todas mis contaseña de todos mis correos, y lo mas gracioso es que no tenia ningun KEYLOGGER puesto en mi computadora. Tambien habia pensado en otra cosa, como por ejemplo; copiando el archivo SAM y descompilarlo, pero no creo porque tardaria 33Billones de años para descompilarlo, jeje.
Si teneis algo pensado de como lo hizo, por favor  decidmelo.
§ Saludos §

adastra

 Cuando entras a gmail (por ejemplo) y marcas la opción de "Recordar Contraseña", que crees que esta pasando? pues que la cookie de autenticación (tambien conocido como token de seguridad) es almacenada de forma persistente en tu ordenador. HTTP es un protocolo sin estado, por lo tanto cuando viaja información entre cliente y servidor, el servidor debe almacenar los valores de peticiones previas (como en el ejemplo clasico de "el carrito de compra"), para ello existen las sesiones y las cookies. En el primer caso, las sesiones se almacenan en el servidor web, las cookies en el navegador del usuario. Cuando alguien entra a un servicio como el de correo electronico por medio del navegador web, se genera una cookie que es aceptada por el servidor como token de autenticación, ya que contiene la información que usuario necesaria para iniciar sesión (autenticarse). El formato de estas cookies suele ser un texto cifrado utilizando clave publica/provada (ya que normalmente se utiliza HTTPS para autenticarse en una aplicación web)


Problema con este modelo, pues que si tienen acceso fisico a tu ordenador, te pueden sacar tus cookies almacenadas y utilizarlas para iniciar sesión desde otro ordenador como si fueras tu. En el caso de que el atacante no tenga acceso fisico, pero si tu navegas por un sitio malicioso (que él controla) puede perfectamente extraer las las cookies almacenadas en tu ordenador utilizando simplemente javascript.


Como hacerlo? esta historia que te he contado es solamente una "introducción" extremadamente reducida, tienes que aprender conceptos sobre desarrollo de aplicaciones web para poder comprender adecuadamente como explotar vulnerabilidades XSS SQLi, DOM Injection, LDAP Injection, etc, etc, etc, etc
A leer! que por lo que he visto en tus ultimos mensajes, tienes ganas de aprender pero te falta leer mucho más y en algunos casos, los conceptos que estas manejando estan equivocados y mal enfocados.
Animo chaval!

_- Xhenox -_

#2
OK ->Good
Muchas gracias por el consejo, pero si verdad has leido mis ultimos mensajes deberias haber leido mi antepenultimo mensage, diciendo a le "CORAX" ("soy mas bien especificado de "Software" ; "Hardware" ; "Diseño" y poco mas", pero no de las paginas WEB)
si no lo crees entra al asunto !!Rooter!!
Y lo de JAVA lo voy amirar....

<<<Y no hace falta ponerse asi, como diciendo ╚ Se mas que tu ╩ >>>
Segun mi pensamiento, nadie sabe mas que el otro, es decir: -> por mucho que sepas de programacion, sobre lenguaje HTML, Software, Hardware, etc, etc, etc... siempre habra alguien que sabe mas que tu, siempre.
A Demas te voy a poner un ejemplo: ningun Cracker o incluso hablaremos de la categoria un poco mas alta como el  Hacker,, sabe de todo, por que crees tu que para hacer un  Ataque a los bancos se unan 3 o 4  personas para Atacarlo, por que uno mucho mas de seguridad, otro sabe mas bien de programacion, etc...  EN FIN QUE INFORMATICA TIENE MUCHOS CAMPOS, MUCHISIMOS
Por eso estoy haciendo esas preguntas, por que no se de todo y megustaria aprenderlas...
§ Saludos §

it3r

Cita de: adastra en 27 Junio 2012, 10:39 AM
pero si tu navegas por un sitio malicioso (que él controla) puede perfectamente extraer las las cookies almacenadas en tu ordenador utilizando simplemente javascript.

Seguro?, se supone que el navegador se encarga de que una pagina no pueda acceder a la información de otra página.

Saludos.

adastra

#4
Cita de: it3r en 27 Junio 2012, 19:37 PM
Seguro?, se supone que el navegador se encarga de que una pagina no pueda acceder a la información de otra página.

Saludos.
Perdona, es correcto lo que tu dices, solamente es posible acceder a las cookies de un dominio determinado, pero no a las de otros dominios dentro del contexto del navegador usando javascript (por ejemplo en diferentes pestañas). Ha sido un despiste que he tenido. Gracias por la corrección




@ _- Xhenox -_
No he escrito todo este "tocho" con la intensión de "ponerme por encima tuyo" o decir que sé más que tu, en ningún momento he afirmado tal cosa (a ver si aprendemos a leer y ya puestos, a escribir [/color][/font][/-webkit-left][-webkit-left]correctamente [/-webkit-left][-webkit-left]también[/-webkit-left][-webkit-left]) lo único que buscaba con este mensaje era colaborar aclarándote algunas cosas que al parecer no tienes claras (y no solamente sobre desarrollo web). Pero no pasa nada, no te preocupes que no volveré a responder a ninguno de tus tópicos (no vaya ser que te sientas mal por mis respuestas) después de todo, lo único que busco en este foro es obtener feedback y aprender de otras personas con buenas habilidades, ni más ni menos, no le saco ningún provecho el discutir con personas con la edad mental de un niño de 10 años. [/-webkit-left]
[-webkit-left]Lee lo que dice mi firma de usuario.
[/-webkit-left]
Adiós.

_- Xhenox -_

Te he entendido, adastra
Bueno, no te preocupes y no te desanimes!!
§ Saludos §