• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Guida Teoria e pratica - come manipolare dei cookie e perché farlo.

Adenocromo

Utente Normale
Autore del topic
16 Agosto 2010
66
0
Miglior risposta
0
Livello - medio alto.

Buona sera,
in molti ne hanno già sentito parlare e in troppi ne hanno parlato abbastanza, ma volevo comunque dissotterrare dal cemento questo argomento dato che qui su sciax non c'è più di tanto se non insegnamenti a grandi linee. Mi concateno ancora una volta alla classica "teoria e pratica" , sperando che possa servire a qualcuno. Ancora una volta sto scrivendo ad un orario stralunato, è molto tardi quindi perdonate ovvi errori di battitura. :emoji_slight_smile:

Cosa sono, quindi, i cookie? Molti siti offrono una versione dei fatti, ma una buona parte di loro usa paroloni e termini che molto spesso confondono e irrigidiscono la guida. Mi imbatto in una pretesa un po' stupida, ma voglio spiegarvi in poche parole cosa sono e a cosa servono i cookie senza dilungarmi come ho fatto nella guida precedente. La pratica durerà un po', ergo cercherò di stringere i tempi a livello sintattico.

I cookie sono, per quei pochi che non lo sapessero, dei semplici input, delle righe di testo abbastanza brevi, che il nostro server invia ad un client, molte volte il client è paragonato al browser, ma la situazione può variare, in quanto il client ha molteplici operatori. (Hardware, software e via discorrendo.)

Per fare un esempio più pratico e comprendere più velocemente, si potrebbe dire che nel momento in cui entriamo in un sito e inseriamo il nostro nome utente e la nostra password, generiamo un suffisso di codici crittografati che non appena clicchiamo su "entra" il nostro server invia al nostro browser.

Il tutto può sembrare complicato, e magari lo è soltanto perché sono un pessimo insegnante, ma penso che prima di poter passare alla pratica apprendere queste due o tre norme basiche serva a comprendere meglio quel che si fa senza elargirsi totalmente alla "pappa già pronta". :soso:


A cosa serve la manipolazione dei cookie, perché farla e cosa nascondono i cookie?

Queste sono le domande che molti utenti hanno fatto in diversi altri forum e che, ahimè, non hanno ottenuto risposta. Quel che so al riguardo è davvero poco, ma magari unendo il tutto si arriva al nocciolo della questione, che dite?

La manipolazione dei cookie è per certi versi un attacco hacker, anche se in più linee guida è specificato che certe operazioni sono limitate ad un pubblico che opera nel settore informatico, magari la polizia postale, ingegneri o periti. Ma a nessuno importa, tanto meno a me. Ma a prescindere da questo... noi tratteremo questo attacco come, appunto, un attacco hacker, dato che prevalentemente questa guida è per chi sta entrando da poco in questo spazio. La manipolazione dei cookie, chiamate anche "cookie poisoning", è un attacco sistemico che fondamentalmente ha un solo scopo: abbassare quanto più i livello di sicurezza affinché colui che attacca possa evidenziare quante più falle nel sistema così da intrufolarsi e nel migliore dei casi appropriarsi del profilo della vittima.

In sostanza, sì: questa è una guida sperimentale che può, come non può, essere usata per denudare un'intera piattaforma e scoprirla in tutti i suoi lati. (Vedete com'è facile paragonare una donna ad un attacco hacker?) :look:

Perché perdere del tempo inutile/utile per fare questa cookie poisoning? E' un ottimo modo per cominciare e per studiare da "vicino" le prudenze e le potenze di un browser, e oltre che deliziare la vostra curiosità potrete monitorare per primo luogo il vostro primo - mi auguro - attacco.

Cosa nascondono i cookie? I cookie, non appena vengono spediti in bitrate, portano con sé una vasta fazione di codici crittografati e molto spesso in hash, che nascondono, appunto, i vostri dati e tutto quel che giornalmente fate con il vostro browser predefinito. E' molto importante entrare a contatto con i cookie, oltretutto è uno, parafrasando wikipedia, dei venti attacchi più usati dagli hacker.

Adesso, capito cosa diamine è un cookie, possiamo passare alla pratica. - Numererò il tutto, per non confondere. -

1.La pratica per il monitoraggio e la manipolazione di un dato crittografato, quindi di un cookie, è lo sniffer. Ci sono molteplici software che offrono certe funzioni, uno di essi, Cain e Abel mi ha dato parecchi problemi, essendo uno dei più complessi da usare. Allo stesso passo c'è, però, anche un ottimo software, forse uno dei migliori, superando persino quest'ultimo. Si chiama "wireshark", e suppongo che molti di voi lo conoscano, sia per sentito dire che per uso quotidiano. Il software è stato fornito qualche anno fa sotto un'altra versione, "ethereal" che forniva un supporto simile a wireshark ma soltanto in modalità terminale e disponibile per lo più per GNU/Linux. Comunque... il programma è davvero ben fatto, inizialmente sarà un po' confusionario, ma basta un po' di abitudine. Scarichiamolo gratuitamente da qui:
Perfavore, Entra oppure Registrati per vedere i Link!
, avrete la disponibilità di scegliere più configurazione di bit, a seconda del vostro sistema e in basso ci saranno alcuni link che riportano a GNU/Linux e progetti open source vari.

2.Wireshark offre parecchie funzioni, partendo dallo sniffing remoto, locale e finendo con wardriving e il port mirroring. Il programma è, devo dirlo, davvero complesso da usare, quel che io vi farò "vedere" tratterà il 10% delle potenzialità che questo gioiello mette a disposizione. Ma comunque sia, iniziamo.

3.Una volta installato avremo di fronte questa finestra:
Perfavore, Entra oppure Registrati per vedere i Link!
, dobbiamo cliccare su "interface list", come nello screen. Servirà per scegliere a quale scheda di rete wireshark dovrà connettersi per usufruire dello sniffing. Una volta entrati dovreste trovarvi davanti, invece, questa:
Perfavore, Entra oppure Registrati per vedere i Link!
. Se non avete la minima idea di quale sia la vostra scheda di rete - il che è un po' improbabile :| - cliccate quella con più "packets" (pacchetti.)

4.Dopo aver scelto la nostra scheda di rete dovremmo semplicemente "startare" lo sniffer. Andiamo sulla terza casella in alto (
Perfavore, Entra oppure Registrati per vedere i Link!
) e clicchiamo. Adesso vi ritroverete con tantissimi numeri susseguiti di indirizzi statici e IP vari, queste non sono altro che le operazioni sistemiche da parte della vostra scheda ethernet. Più sarà potente più ricerche farà. Il limite è esteso per 30 bit ogni 2/3 secondi, ma può variare.
Adesso dovremmo provare a testare il monitoraggio di rete. Proviamo, quindi, ad andare su facebook con lo sniffer attivato. Accediamo, chiudiamo immediatamente la pagina, torniamo su wireshark e stoppiamo il tutto. (Il pulsante dopo lo start.) Adesso tra quell'immenso elenco di dati, dovremmo trovare il dato cronologico che ha registrato il nostro login su facebook. Io ho provato a loggare in un forum:
Perfavore, Entra oppure Registrati per vedere i Link!
, e come vedete è uscito fuori. Adesso, dopo averlo scovato, clicchiamo col destro su "follow TCP stream", andiamo in basso e troveremo i nostri dati. (
Perfavore, Entra oppure Registrati per vedere i Link!
) - ID: guest - PWD: guest123.
Adesso cancelliamo la cronologia e cancelliamo anche i cookie.

Premessa: wireshark monitora tutto quel che facciamo nel momento in cui avviamo lo sniffer, grazie a questo procedimento, di fatti, potremo manipolare i cookie.

5.Eccoci giunti alla fine. Sempre restando su "follow TCP stream", dovremmo cercare la stringa "cookies" (
Perfavore, Entra oppure Registrati per vedere i Link!
- scattata ad un video), copiare il tutto su un blocco note ed eliminare i dati crittografati. (=?%) In questa maniera:
Perfavore, Entra oppure Registrati per vedere i Link!
. Una volta fatto, chiudiamo il programma, copiamo ed incolliamo il cookie (senza dati crittografati), scarichiamo questo add-on per mozilla:
Perfavore, Entra oppure Registrati per vedere i Link!
, ce lo ritroveremo sopra i preferiti di mozilla. Apriamolo, clicchiamo su "add", inseriamo su nome la prima riga di cookie, su "contenuto" la seconda (quella più lunga), su "server" inseriamo ".facebook" e su "percorso" inseriamo semplicemente "/". Clicchiamo save, poi nuovamente su "add", e facciamo la stessa cosa fino a concludere tutto il cookie. Una volta concluso, se proveremo ad entrare su facebook entreremo senza immettere ID e password.

Sì, so che vi ho fatto un mattone gigante... e so che nessuno leggerà tutto questo, ma spero ne sia valsa la pena.
Se vi state chiedendo "dove mi ha portato tutto questo?" La risposta è semplice: la prossima guida sarà sul prendere un account remoto contando soltanto sui cookie, così non dovrete ripassarvi il tutto, poiché saprete già come fare ogni cosa.

Perdonatemi, ho impiegato due ore per fare questa guida e soltanto adesso mi rendo conto di quanto io sia stato stupido, dato che non servirà più di tanto.

Arrivederci.
 
Ultima modifica:
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Io lo letto tutto , varie cose non le sapevo...grazie comunque.
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Io lo letto tutto , varie cose non le sapevo...grazie comunque.

Studiare un pò di grammatica non fa mica male...

Comunque, riguardo alla guida, bravo anche se sono cose che si sanno, almeno io le conosco...
Bravo, ;)
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Di fatti, era una guida specializzata ad un pubblico meno informato. Grazie comunque. :emoji_slight_smile:
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Grazie , Ottima guida molto dettagliata bravo ^^
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Gentilissimo, davvero.
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Bellissima guida, molto dettagliata e anche molto ordinata, bravo.
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

@Adenocromo Complimenti per la guida, davvero ben fatta e dettagliata.
Se magari posti gli screen come immagini e non come link per me potrebbe andare
anche in rilievo! ;) @retrover @XFossaDeiLeoniX che ne dite voi?
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Grazie infinite. Sì, ho provato ad inserire gli screen contando sulla funzionalità del sito, la guida avrebbe giovato di un accorgimento estetico che adesso, purtroppo, manca. Ma il problema è che una volta inserito il link, accorciato o meno, le accettava ma non le faceva vedere. Lasciava un enorme spazio vuoto al posto del link/immagine. Ho anche provato da mozilla ma nulla. Non so, può anche darsi sia un mio problema. Ma se è qualcosa di generico e risolvibile mi farebbe piacere rimettere il tutto in questa o reinserirli nella prossima - se ci sarà - guida.

Riguardo al rilievo, sul serio, sei gentilissimo. :P Non so, è una guida come un'altra, ho messo quante più cose conoscevo e avevo letto, ed è uscito quel che è uscito. Sono contento piaccia.
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Sì per me ci sta, il funzionamento dei cookie e di come sfruttarli è sempre un argomento difficile da digerire, bravo, bella guida :emoji_slight_smile:

Fate vobis per il rilievo. Tuttavia prima io la spunterei un po' e la formatterei meglio, tipo per punti o paragrafi.
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Io ho letto ogni parola di quello che hai scritto e di solito io queste guide così lunghe appena vedo qualche rigo mi annoio ma tu invece non so come ci sei riuscito a farmi leggere tutto e l'ho trovata davvero una discussione interessante per me meriterebbe il rilievo non so voi comunque se davvero questa guida andrebbe in rilievo e devi aggiungere l'altra guida per scovare i cookie in remoto ti consiglio di fondere il tutto e creare un solo thread, con questo chiudo in bocca al lupo ^^
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

@Adenocromo Cerca di formattare meglio il testo e poi và in rilevo! ;)
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Vi ringrazio, davvero gentili. Per formattare il testo cosa intendiamo? Reinserire punti e virgole, così da rendere il tutto più ordinato oppure riallineare i paragrafi, cambiarlo di forma e via dicendo? Perdonate l'ignoranza, ma non mi sono mai dato alle guide. :look:
--------------- AGGIUNTA AL POST ---------------
Sei stato gentilissimo e sì, hai ragione... dovrei costruirne un thread ed inserire le parti che, ovviamente, mancano per problemi di spazio. Ma magari il tutto si potrebbe allungare a dismisura, e la cosa non mi convince più di tanto. Però ci penso... promesso. E grazie infinite, lucciconi sono d'obbligo su questo commento. :P
 
Ultima modifica:
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Ottima guida :emoji_smiley:
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

Davvero bella guida, nonostante la lunghezza è facile e abbastanza interessante da leggere.

Il rilievo lo merita in pieno ^^
 
Riferimento: Teoria e pratica - come manipolare dei cookie e perché farlo.

complimenti guida fatta molto bene!
certo sono cose che si sanno ma in questo forum di solito si trovano persone poco informate...
continua così