Thema: Cookie auslesen

Hallo zusammen...

Ich bin gerade dabei, für die Firma in der ich arbeite, eine Sicherheitsanalyse ihrer Web-Appliaktion zu erstellen. Als Framework wird Joomla 1.5 verwendet.

Meine Frage bezieht sich auf das Cookie:

Für die Authentifizierung/Autorisierung wird in diesem Projekt die Session-ID verwendet.
Diese wird im jeweiligen Request mittels des Cookies versendet.

Normalerweise müsste die Session-ID (da sie im Cookie transportiert wird) mittels einfachem javascript CODE]alert(document.cookie)[[/CODE] angezeigt werden. => Das wird sie schonmal nicht. Falls da jemand die Antwort kennt bin ich natürlich sehr erfreut drüber...

Aber meine eigentliche Frage bezieht sich auf die Speicherung der Session-ID auf dem Client.

Im Anhang befindet sich das Cookie der Seite:
Ich bin der Meinung, dass aus diesen Informationen der md5 Hash(Session-ID) erzeugt wird oder nicht?!
Wenn das so ist, weiß jemand wie aus diesen Werten mittels z.b. md5 Generator die Session-ID wieder gewonnen werden kann?
Oder was es sonst mit diesen Werten auf sich hat, für was stehen sie? Wie werden sie generiert?

Ihr würdet mir sehr weiterhelfen.
Dank Euch

Bigmoo

Konnte jetzt meine Fragen beantworten....

Normalerweise müsste die Session-ID (da sie im Cookie transportiert wird) mittels einfachem javascript CODE]alert(document.cookie)[[/code] angezeigt werden. => Das wird sie schonmal nicht. Falls da jemand die Antwort kennt bin ich natürlich sehr erfreut drüber...

>>Grund ist das gesetzte HTTPOnly Flag

Ich bin der Meinung, dass aus diesen Informationen der md5 Hash(Session-ID) erzeugt wird oder nicht?!

>>Stimmt nicht...dabei handelt es sich lediglich um die Gültigkeitsdauer, etc. (als normal Cookie-Parameter)

Der Vollständigkeit halber:
Es gibt aber Methoden mit denen die Session ID ausgelesen werden kann => z.B. OWASP => HTTP Response Splitting, TRACE-Methode

Bis dann
Bigmoo