Разумеется, AOL отредактировала их — имена людей были исключены, а идентификатор каждого пользователя был заменён на ничего не значащую цифровую комбинацию.
Вы здесь
- Уникальный числовой идентификатор истории — обычно совпадает с идентификатором истории пользователя из трекера, которым пользуется команда.
- На первом этапе злонамеренный пользователь устанавливает на атакуемом сервере так называемую сессию-заглушку и получает (или выбирает произвольный в зависимости от механизма) от него идентификатор.
- Некоторые серверы после аутентификации сохраняют в cookie или скрытых полях идентификатор «роли» пользователя в рамках веб-приложения.
- После захода пользователя на сайт злоумышленник подключается к серверу, используя зафиксированный идентификатор, и получает доступ к сессии пользователя.
- Идентификатор безопасности присваивается каждой учётной записи, поэтому количество таких подразделов зависит от количества пользователей, когда-либо входивших в систему.
- После входа пользователя злоумышленник использует идентификатор сессии для получения доступа к системе от имени пользователя.
- Последующие запросы пользователя к серверу содержат идентификатор сессии как доказательство того, что аутентификация была успешно пройдена.