Sesijas nolaupīšana

Autors: Peter Berry
Radīšanas Datums: 13 Augusts 2021
Atjaunināšanas Datums: 1 Jūlijs 2024
Anonim
Software security - Session Hijacking
Video: Software security - Session Hijacking

Saturs

Definīcija - ko nozīmē sesijas nolaupīšana?

Sesijas nolaupīšana notiek, kad pēc veiksmīgas klienta pieteikšanās autentifikācijas no Web servera klienta pārlūkam tiek nosūtīts sesijas marķieris. Sesijas nolaupīšanas uzbrukums darbojas, ja tas kompromitē marķieri, konfiscējot vai uzminot, kāda būs autentiska marķiera sesija, tādējādi iegūstot neatļautu piekļuvi Web serverim. Tā rezultātā var notikt sesiju šņaukšana, uzbrukumi cilvēkam-pa vidu vai cilvēks-pārlūkprogrammā, Trojans vai pat ļaunprātīgu JavaScript kodu ieviešana.

Tīmekļa izstrādātāji sevišķi noraizējas par sesiju nolaupīšanu, jo uzbrucējs var iespējot HTTP sīkdatnes, kuras tiek izmantotas vietnes sesijas uzturēšanai.


Ievads Microsoft Azure un Microsoft Cloud | Šajā rokasgrāmatā jūs uzzināsit, kas ir mākonis skaitļošana un kā Microsoft Azure var palīdzēt jums migrēt un vadīt savu biznesu no mākoņa.

Techopedia skaidro sesijas nolaupīšanu

Pirmajās dienās HTTP protokols neatbalstīja sīkfailus, tāpēc tīmekļa serveros un pārlūkprogrammās nebija HTTP protokola. Sesiju nolaupīšanas evolūcija sākās 2000. gadā, kad tika ieviesti HTTP 1.0 serveri. HTTP 1.1 ir modificēts un modernizēts, lai atbalstītu super sīkfailus, kuru dēļ Web serveri un Web pārlūkprogrammas ir kļuvušas neaizsargātākas pret sesiju nolaupīšanu.

Tīmekļa izstrādātāji var izmantot noteiktas metodes, lai palīdzētu izvairīties no nolaupīšanas vietnēs, ieskaitot šifrēšanas metodes un sesijas taustiņiem izmantojot garus, nejaušus skaitļus. Citi risinājumi ir sīkfailu vērtības pieprasījumu maiņa un sesiju reģenerācijas ieviešana pēc pieteikšanās. Firesheep, Firefox paplašinājums, ir ļāvis publiskai lietotāju sesijai nolaupīt uzbrukumus, atļaujot piekļuvi personīgajiem sīkfailiem. Sociālo tīklu vietnes, piemēram, un ir arī neaizsargātas, kad lietotāji pievieno tās savām vēlmēm.