BFi staff wrote: > BFi14-dev-07 RELEASED > > title: I Cookie Tools > author: xenion > rel-date: 2007.12.10 > read online: http://bfi.s0ftpj.org/dev/BFi14-dev-07 > download: http://bfi.s0ftpj.org/dev/BFi14-dev-07.tar.gz > language: italiano > description: > Questo articolo presenta due tool: > * cookiesniffer: uno sniffer di cookie che riconosce e ricostruisce > connessioni HTTP nuove o gia' esistenti analizzando ogni messaggio > HTTP valido o solo parzialmente valido.
A BlackHat USA 2007 ho assistito ad una presentazione di David Maynor & Robert Graham inerente le vulnerabilita' di applicazioni web che sfruttano cookie (passati in chiaro) per autenticare l'utente senza la necessita' di inviare le credenziali ad ogni accesso...il tool presentato (Hamster, http://www.erratasec.com/research.html) offre sostanzialmente le stesse funzionalita' di quello presentato in questo articolo di BFI. Una demo "live" molto divertente ha mostrato come violare semplicemente un account gmail in pochi secondi... -- Damiano Bolzoni [EMAIL PROTECTED] Homepage http://dies.ewi.utwente.nl/~bolzonid/ PGP public key http://dies.ewi.utwente.nl/~bolzonid/public_key.asc Skype ID: [EMAIL PROTECTED] Distributed and Embedded Security Group - University of Twente P.O. Box 217 7500AE Enschede, The Netherlands Phone +31 53 4892477 Mobile +31 629 008724 ZILVERLING building, room 4035 ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
