<div>Thanks for updating that document.</div>
<div>I did it initially over the summer, now it is more exhaustive and complete.</div>
<div>Good job!!, Thanks Javier,</div>
<div>Eoin</div>
<div><br><br>&nbsp;</div>
<div><span class="gmail_quote">On 07/12/06, <b class="gmail_sendername">Javier Fernandez-Sanguino</b> &lt;<a href="mailto:jfernandez@germinus.com">jfernandez@germinus.com</a>&gt; wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Mauro Bregolin dijo:<br>&gt; I would add looking at cookies as another viable technique to perform<br>&gt; fingerprinting. Depending on cookies names and formats it is possible to
<br>&gt; infer what web server / application server is being used.<br><br>True. It can also be used to detect elements inline which need to<br>per-session tracking and avoid sending users to different backend<br>servers. Nortel's Application Switch (formerly Alteon), Arrowpoint, F5's
<br>BIG-IPs and others do this.<br><br>&gt;<br>&gt; The idea is documented in a couple of posts (and maybe in other places I am<br>&gt; not aware of)<br>&gt; <a href="http://seclists.org/pen-test/2006/Jan/att-0210/cookie_fingerprinting_txt">
http://seclists.org/pen-test/2006/Jan/att-0210/cookie_fingerprinting_txt</a><br>&gt; <a href="http://seclists.org/pen-test/2006/Jan/0249.html">http://seclists.org/pen-test/2006/Jan/0249.html</a><br>&gt;<br>&gt; Don't know if Javier or others pursued further the idea or expanded the
<br>&gt; cookie db.<br><br>I did not pursue this much, attached is my latest version of the file.<br>If you do some Google research on this subject you can probably fill it<br>up more.<br><br>Regards<br><br>Javier<br><br>
<br><br>Cookie Fingerprinting<br>=====================<br><br><br><br><br><br>BEA WebLogic (<a href="http://www.bea.com">www.bea.com</a>)<br>------------<br><br>Set-Cookie: WebLogicSession=PLLHV8No5ImB2wUo2mupD49Bdo2HxEXq7OjhAAEl1EP6tMr1KbtI|-2011799079004677001/-1062729195/6/7001/7001/7002/7002/7001/-1|-3433517045111774782/-1062729194/6/7001/7001/7002/7002/7001/-1; path=/
<br><br><br>Sane NetTracker (<a href="http://www.sane.com">www.sane.com</a>)<br>---------------<br><br>Set-Cookie: SaneID=213.63.123.42-1018349510644; path=/; expires=Tue, 09-Apr-07 06:51:50 GMT; domain=.sane.com<br><br><br>
Vignette (<a href="http://www.vignette.com">www.vignette.com</a>)<br>--------<br><br>Set-Cookie:&nbsp;&nbsp;ssuid=Maxliw00vvM00001fbb6Oxn0wa; path= /; expires=Saturday, 06-Sep-2014 23:50:08 GMT<br>Set-Cookie:&nbsp;&nbsp;vgnvisitor=Mawd0M00heY0000~fBiFkE0035; path= /; expires=Saturday, 06-Sep-2014 23:50:08 GMT
<br><br><br>Microsoft IIS (<a href="http://www.microsoft.com">www.microsoft.com</a>)<br>-------------<br><br>Format:<br>Set-Cookie: ASPSESSIONIDXXXXXXXX=XXXXXXXXXXXXXXXXXXXXXXXX; path=/<br>where 'X' is a upper case letter
<br><br>Sample:<br>Set-Cookie: ASPSESSIONIDGQQGQYDC=KDGFBFGBLPNCMIIELPAINNJH; path=/<br><br>Microsoft ASP.Net (<a href="http://www.microsoft.com">www.microsoft.com</a>)<br>-----------------<br><br>Set-Cookie: ASP.NET_SessionId=0hqed4qelkxvjj153tplacm0
; path=/<br><br><br>IBM Net.Commerce (<a href="http://www.ibm.com">www.ibm.com</a>)<br>----------------<br><br>Set-cookie:&nbsp;&nbsp;SESSION_ID=203363,JdjXE+hB9ph06hBJ4NSD04uHsq/FktC/rNib7MJjNS3jk5fXEK9XBtkAx0zI7NkI; path=/;<br><br>
<br>Netscape Enterprise Server (<a href="http://www.sun.com">www.sun.com</a>)<br>--------------------------<br><br>Set-cookie: NSES40Session=2%253A3e57d375%253Adc59172283a7e72c;path=/;expires=Sat, 22-Feb-2003 20:15:57 GMT
<br><br><br>iPlanet (<a href="http://www.sun.com">www.sun.com</a>)<br>-------<br><br>Set-Cookie: iPlanetUserId=<a href="http://213.23.123.42:29511018555049">213.23.123.42:29511018555049</a>; EXPIRES=Friday, 31-Dec-2010 23:59:59 GMT; DOMAIN=.iplanet.com; PATH=/
<br><br><br>RealMedia OpenAdStream ()<br>----------------------<br><br>Set-Cookie: RMID=d442af2b3d1ccf30; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.xxxx.net<br><br><br>Caucho Resin ()<br>------------<br><br>Set-Cookie: JSESSIONID=afbx7QRlFZje; path=/
<br><br><br>Jakarta Tomcat/JSERV (<a href="http://jakarta.apache.org/tomcat/">jakarta.apache.org/tomcat/</a>)<br>--------------------<br><br>Set-Cookie: JSESSIONID=4ah34a8xo1;Path=/<br><br><br>Macromedia Jrun (<a href="http://www.macromedia.com">
www.macromedia.com</a>)<br>---------------<br><br>Set-Cookie: JSESSIONID=80302068121025709931685;path=/<br><br><br>Roxen Web Server (<a href="http://www.roxen.com">www.roxen.com</a>)<br>----------------<br><br>Set-Cookie: RoxenUserID=07761bc31df67ae8c4441a89bc7ceed5
<br><br><br>ApacheJServ (<a href="http://java.apache.org/jserv">java.apache.org/jserv</a>)<br>-----------<br><br>Set-Cookie: JServSessionIdroot=vvni7vxu8n; path=/<br><br><br>IBM Tivoli Policy Director WebSeal (<a href="http://www.ibm.com">
www.ibm.com</a>)<br>----------------------------------<br>Format:<br>Set-Cookie: PD-S-SESSION-ID=2_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx; Path=/; Secure<br>where 'x' is {[A-Z],[a-z],[0-9],+,-}<br><br>Example:<br>
Set-Cookie: PD-S-SESSION-ID=2_L7kl8vzZ9b8LMEwpm0PgqqQRIh2ZZakRamBlgvMXqIIAABDZ; Path=/; Secure<br><br>When accessing a stateful sesion:<br>Set-Cookie: PD_STATEFUL_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx=/LOCATION; Path=/<br>
<br>WEBTRENDS ()<br>---------<br><br>Set-Cookie: WEBTRENDS_ID=223.53.123.13-1091519275.658578; expires=Fri, 31-Dec-2010 00:00:00 GMT; path=/<br><br><br>IBM WebSphere Application Server ()<br>---------------------------------
<br><br>Set-Cookie: sesessionid=ZJ0DMWIAAA51VQFI50BD0VA;Path=/<br><br><br>Sun Java System Application Server (Netscape/iPlanet Applicaton Server)<br>-----------------------------------------------------------------------<br>
<br>Set-Cookie: gx_session_id_=f42d0282513ff402; path=/<br><br><br>OpenMarket/FatWire Content Server (<a href="http://www.fatwire.com">www.fatwire.com</a>)<br>---------------------------------<br><br>Set-Cookie: SS_X_CSINTERSESSIONID=0001P73k2FUEYEU4Ks5TtKxcs2K:vv0b9pej; path=/
<br>Set-Cookie: CSINTERSESSIONID=0001xquPwAx2NFUFvi7yw-43f35:vv7sdeqs;Path=/<br><br><br>Siebel CRM<br>----------<br><br>Set-Cookie: _sn=u3YBSdYfaf0oa5H1hz7Tc0ccApc0T1Iz60QWgeSiMEA_; Version=1; Path=/<br><br>BlueCoat Proxy (
<a href="http://www.bluecoat.com">www.bluecoat.com</a>)<br>--------------------------<br><br>Set-Cookie: BCSI-CSC2B35314=1; Path=/<br><br>Coldfusion (<a href="http://www.macromedia.com">www.macromedia.com</a><br>----------
<br><br>CFID, CFTOKEN, and CFGLOBALS<br><br>More info at<br><a href="http://www.macromedia.com/cfusion/knowledgebase/index.cfm?id=tn_17919">http://www.macromedia.com/cfusion/knowledgebase/index.cfm?id=tn_17919</a><br><a href="http://www.macromedia.com/cfusion/knowledgebase/index.cfm?id=tn_17915">
http://www.macromedia.com/cfusion/knowledgebase/index.cfm?id=tn_17915</a><br><br>Urchin Tracking Module<br>----------------------<br><br>__utmz<br>__utma<br><br>More info at:<br><a href="http://www.google.com/support/urchin45/bin/answer.py?answer=28307&amp;topic=7425">
http://www.google.com/support/urchin45/bin/answer.py?answer=28307&amp;topic=7425</a><br><br>HAproxy<br>-------<br><br>SERVERID<br><br>More info at: <a href="http://haproxy.1wt.eu/download/1.2/doc/architecture.txt">http://haproxy.1wt.eu/download/1.2/doc/architecture.txt
</a><br><br>TBD<br>---<br><br>This need to be determined yet:<br><br>ASNINFO<br>CNBOOK<br>-- Are they IIS related?<br><br><br>(<a href="http://z.iwethey.org/forums/render/content/show?contentid=273077">http://z.iwethey.org/forums/render/content/show?contentid=273077
</a>)<br><br>PHPSESSION : session identifier for PHP.<br>ASP.NET_Sessionid : session identifier for <a href="http://ASP.NET">ASP.NET</a><br>__utma, __utmb, __utmc, __utmv : Urchin Tracking Module (I see these a lot)<br>sc_id, s_sq, s_sess (probably others) : Omniture (I see these a lot, too) - they own 
<a href="http://2o7.net">2o7.net</a>, FWIW<br>BIGipServer* : BigIP load balancer from F5? (I thought they were a network like Akamai)<br>CP=null* : no idea, yet I see it a lot<br>he=lo : also no idea<br>bblastactivity, bblastvisit (probably others) : some sort of bulletin board software
<br>T3CK : no idea. I see this one a fair bit, too.<br>MintUnique, Mint* : again, I dunno, but I see it from time to time.<br>WEBTRENDS_ID : I imagine this is probably WebTrends.<br><br>The MintUnique and Mint* stuff come from a (fairly nice, if you're just looking for personal use) stats package called Mint [*]. It's popular among the web-design crowd.
<br><br><br>I know the __utm* and the s_* cookies are for tracking website usage. The basic way they work is to give you a uniqueID and then see what pages you load from that site with it. This data is used to see which pages are popular, which links are more often followed, how often people come back to the site, and so on. There's more to it than that, of course, but that's the purpose. Of course, there are a lot of people who don't understand that's what those cookies are for, or don't want to be individually tracked, or don't like cookies generally, so such statistics have high error margins. I see a lot of sites use several methods, perhaps for this reason.
<br><br>Enabling application level persistence between a server and another resource over a network<br>Document Type and Number:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; United States Patent 6970933<br>Link to this Page:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://www.freepatentsonline.com/6970933.html">
http://www.freepatentsonline.com/6970933.html</a><br>Abstract:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; A method and system for inserting and examining Cookies in the data streams of HTTP connections for the purpose of persistently directing HTTP connections to the same destination. The invention enables a network device to direct subsequent HTTP connections from the same client to the same server (destination) for accessing the requested resources. There are four modes for employing the Cookie to persistently direct HTTP connections. The associative mode inserts a Cookie that uniquely identifies the client into an HTTP response. The passive mode inserts Cookie information that uniquely identifies a previously selected destination into an HTTP response. In the rewrite mode, a network device manages the destination information that is rewritten over blank Cookie information generated by the destination producing the HTTP response. The insert mode inserts and removes Cookie information in the data packets for HTTP requests and responses prior to processing by the destination.
<br><br><br>_______________________________________________<br>Owasp-testing mailing list<br><a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br><a href="http://lists.owasp.org/mailman/listinfo/owasp-testing">
http://lists.owasp.org/mailman/listinfo/owasp-testing</a><br><br><br></blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary OWASP - Ireland<br><a href="http://www.owasp.org/local/ireland.html">http://www.owasp.org/local/ireland.html
</a><br><a href="http://www.owasp.org/index.php/OWASP_Testing_Project">http://www.owasp.org/index.php/OWASP_Testing_Project</a><br><a href="http://www.owasp.org/index.php/OWASP_Code_Review_Project">http://www.owasp.org/index.php/OWASP_Code_Review_Project
</a>