Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
1
resposta

Sobre segurança usando session ID

Referente ao curso OWASP Top 10: de Injections a Broken Access Control, no capítulo A2 Broken Authentication e atividade Faça como eu fiz na aula

por Salvador Sergi Agati
| 7.6k xp | 2 posts

É possível a geração de um cookie criptografando o IP da máquina cliente e, no servidor, confrontar o IP enviado pelo cookie com o IP da máquina que está logando?

1 resposta
solução!
por Lucas Ribeiro Mata
| 893.1k xp | 1321 posts
Instrutor Instrutor

Olá, Salvador!

Sim, é possível gerar um cookie criptografando o IP da máquina cliente e, no servidor, confrontar o IP enviado pelo cookie com o IP da máquina que está logando. No entanto, essa abordagem tem algumas limitações e considerações de segurança que você deve levar em conta.

Exemplo Prático

  1. Criptografar o IP e gerar o cookie:

    No lado do cliente, você pode criptografar o IP e armazená-lo em um cookie. Aqui está um exemplo em Python:

    from cryptography.fernet import Fernet
import socket

# Gera uma chave para criptografia
key = Fernet.generate_key()
cipher_suite = Fernet(key)

# Obtém o IP da máquina cliente
ip_address = socket.gethostbyname(socket.gethostname())

# Criptografa o IP
encrypted_ip = cipher_suite.encrypt(ip_address.encode())

# Armazena o IP criptografado em um cookie
cookie = {'session_id': encrypted_ip}

  2. Descriptografar e confrontar o IP no servidor:

    No lado do servidor, você pode descriptografar o IP do cookie e compará-lo com o IP da requisição:

    from flask import Flask, request, make_response
from cryptography.fernet import Fernet

app = Flask(__name__)

# Usa a mesma chave de criptografia
key = Fernet.generate_key()
cipher_suite = Fernet(key)

@app.route('/login', methods=['POST'])
def login():
    # Obtém o cookie da requisição
    encrypted_ip = request.cookies.get('session_id')

    if encrypted_ip:
        # Descriptografa o IP
        decrypted_ip = cipher_suite.decrypt(encrypted_ip.encode()).decode()

        # Obtém o IP da requisição
        request_ip = request.remote_addr

        # Compara os IPs
        if decrypted_ip == request_ip:
            return "IP match. Login successful!", 200
        else:
            return "IP mismatch. Login failed.", 403
    else:
        return "No session ID found.", 400

if __name__ == '__main__':
    app.run()

Considerações de Segurança

  1. IP Dinâmico: O IP do cliente pode mudar, especialmente em redes móveis ou com provedores de internet que utilizam IPs dinâmicos. Isso pode causar falsos negativos.

  2. Proxies e NAT: Clientes atrás de proxies ou NATs podem ter o mesmo IP público, o que pode levar a falsos positivos.

  3. Segurança do Cookie: Certifique-se de que o cookie seja seguro (usando HttpOnly e Secure flags) para evitar ataques como XSS.

  4. Criptografia: Utilize uma chave de criptografia segura e mantenha-a protegida.

Bons estudos!