Search

About me

Johannes (Hanno) Böck
mail: hanno@hboeck.de
jabber: hanno@hboeck.de
gpg: BBB51E42
ssh: RSA, ECDSA


Hanno on Twitter
Hanno on identi.ca

Impressum

schokokeks.org



Atheist

Twitter/identi.ca

hanno: Falls ihr noch an Clicktivism glaubt könntet ihr hier die Petition für Netzneutralität unterstützen http://t.co/NfcNlcFKz4

hanno: @linuxtag und auch ansonsten ist das ssl-setup eher mangelhaft https://t.co/9AnIq5Kqjr

hanno: @linuxtag die Zertifikats-Chain für http://t.co/GOQj2TxhTc ist fehlerhaft, wenn ihr das intermediate-cert einbaut funktioniert es auch

hanno: Warum ist eigentlich der Mißbrauch von Copyright-Löschanträgen nicht strafbar? http://t.co/vtnerEyRue

hanno: Tricky problem - if I report a phishing URL to the responsible admin it might be catched by their spamfilter

Anzeigen

Events

22.05 - 25.05 - Linuxtag
30.05 - 02.06 - GPN13 (8 Days)
04.07 - 07.07 - PQCrypto (43 Days)
05.07 - 07.07 - SIGINT (44 Days)
31.07 - 04.08 - OHM13 (70 Days)
01.10 - 02.10 - Open Access Tage (132 Days)
My pages
Picture gallery

Archives

Categories



All categories

Feeds

Tags

Creative Commons

CC0
Unless noted otherwise, all content is CC Zero / public domain

Study research project about session cookies, SSL and session hijacking

Tuesday, January 13. 2009, 23:38
In the last weeks, I made a study research project at the EISS at the University of Karlsruhe. The subject was »Session Cookies and SSL«, investigating the problems that arise when trying to secure a web application with HTTPS and using session cookies.

I already wrote about this in the past, presenting vulnerabilities in various web applications.

One of the notable results is probably that ebay has just no measurements against those issues at all, so it's pretty trivial to hijack a session (and use that to do bids and even change the address of the hijacked account).

Download »Session Cookies and SSL« (PDF, 317 KB)
Code, English, Security | Comments (5) | Trackback (1)
Defined tags for this entry: , , , ,
Related entries by tags:

Trackbacks
Trackback specific URI for this entry


Warning: Illegal string offset 'properties' in /home/hanno/websites/blog.hboeck.de/htdocs/include/plugin_api.inc.php on line 1634
Links - 24.01.2009
Nach langer Zeit komme ich auch mal wiederzum Auswerten von Links. Allerdings werden auch die nächsten Wochen nicht wirklich entspannter für mich.Die Kompetenzbündelung (ich bin nicht bei einer Beraterfirma eingestiegen, keine Sorge) von Bertelsmann kur
Weblog: emplify
Tracked: Jan 24, 17:11

Comments
Display comments as (Linear | Threaded)

Sieht gut aus, vor allem dass serendipity sicher ist liest man gern :-)

Kennst du http://de.wikipedia.org/wiki/Cross-Site_Authentication? Das passt so etwa ins Thema.
#1 Joachim Breitner (Link) on 2009-01-14 20:55
Ja, vor einigen Jahren hast Du das auf der GPN präsentiert - da war ich im Raum.
#1.1 Hanno (Link) on 2009-01-14 21:01
Möglicherweise habe ich es beim Überfliegen übersehen, aber ich vermisse die Erwähnung des Flags "secure" und u.U. auch noch des Flags "httpOnly" bei Cookies.
#2 Alex (Link) on 2009-01-14 23:27
Flag secure wird in der Einführung zu Kapitel 4 erläutert.

httponly wird nur beiläufig bei der Code-Lösung in PHP erwähnt, das hätte man ausführlicher machen können, wobei das ja eher was mit XSS zu tun hat.
#2.1 Hanno (Link) on 2009-01-14 23:53
Hi Hanno,

ich hab dich getaggt :-) http://phphacker.net/2009/01/15/the-seven-things-itch/

Cheers,

unset
#3 unset (Link) on 2009-01-15 04:44

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.