Создание django-сайта, уязвимого к перехвату сессии

Для демонстрации кибербезопасности мне нужно создать сайт, уязвимый для перехвата сеанса, просто перехватив сессионный cookie и включив его в заголовки запросов атакующего.

Я пробовал использовать множество реализаций jwt-аутентификации, а также просто украсть "sessionid" после установки SESSION_COOKIE_SECURE в "False". Я никогда не мог украсть сессию на моем сайте и всегда получал перенаправление на страницу входа.

Можете ли вы вспомнить какой-нибудь уязвимый механизм публичных сессионных cookie, который я мог бы реализовать для кражи сессии на моем сайте django, просто добавив его в заголовки моих запросов? Большое спасибо.

Вернуться на верх

Последние вопросы и ответы

How to prevent Django from generating migrations when using dynamic GoogleCloudStorage in a FileField?

Django Celery with prefork workers breaks OpenTelemetry metrics

moving from Django-WSGI to ASGI/Uvicorn: issue with AppConfig.ready() being called synchronously in asynchronous context

Django message not showing up in template

How to show in django template data from connected models?

django-import-export id auto generated by the package during insert?

Postgres indexing fails in Django

Bad Request /api/accounts/register/ HTTP/1.1" 400 50

Ошибка django.db.utils.NotSupportedError: метод доступа "hash" не поддерживает индексы по многим столбцам

Не получается отправить данные на frontend с backend для подгрузки новой страницы. В чем причина?

Создание django-сайта, уязвимого к перехвату сессии

Последние вопросы и ответы

Рекомендуемые записи по теме