1. Nguyên nhân
Sau mỗi đợt user đăng nhập thành công thì session sẽ có khái niệm lại và có 1 session ID mới. Nếu attacker biết được Session ID mới này thì attacker có thể truy cập vào phần mềm như một user bình thường. Có biết bao phương pháp để attacker có thể lấy được session ID và chiếm phiên làm việc của user như: Tấn công theo kiểu man-in-the-middle: nghe lén và cướp Session ID của user. Hoặc tận dụng lỗi XSS trong lập trình để để lấy Session ID của người sử dụng.
2. Các cách khai thác
Session Sniffing
Như chúng ta thấy trong hình, đầu tiên, attacker sẽ sử dụng một công cụ sniffer để bắt session ID hợp thức của nạn nhân, sau đó anh ta dùng session ID này để làm việc với Web Server dưới quyền của nạn nhân.
Cross-site script attack
Attacker cũng có thể lấy session ID của nạn nhân bằng các đoạn mã độc hại chạy ở phía client, chẳng hạn JavaScript. Nếu một website tồn tại lỗ hổng XSS, attacker có thể tạo nên một đường link chứa mã JavaScript độc hại, gửi cho nạn nhân. Nếu nạn nhân click vào đường link này, cookie của anh ta sẽ bị gửi đến cho attacker.
3. Cách phòng chống
Một số cách thức sau cũng có thể có thể được sử dụng để phòng trừ Session Hijacking:
- Sử dụng HTTPS trong việc truyền nhận dữ liệu để né bị nghe lén.
- Sử dụng một chuỗi hoặc số ngẫu nhiên có tính dài lớn, nhằm có hạn khả năng thành công của loại tấn công bruteforce.
- Tạo lại session ID sau mỗi đợt người dùng đăng nhập thành công, nhằm tránh tiến công Session Fixation.
Chúc các bạn có được nhiều kiến thức hơn sau mỗi bài học cùng Quản Trị Mạng!
- Web10: Một số hình thức giả mạo http headers
- Web9: Các kiểu khai thác XSS – Phần 3: Dom Based XSS
- Web8: Các kiểu khai thác XSS – Phần 2: Stored XSS
- Web11: HTTP Cookie và một số vấn đề bảo mật
Session Hijacking,kỹ thuật hack Session Hijacking,tấn công Session Hijacking,hack Session Hijacking,bảo mật web
Nội dung Web13: Kỹ thuật hack Session Hijacking được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.
Bài Viết Liên Quan
Bài Viết Khác
- Sửa Wifi Tại Nhà Quận 4
- Cài Win Quận 3 – Dịch Vụ Tận Nơi Tại Nhà Q3
- Vệ Sinh Máy Tính Quận 3
- Sửa Laptop Quận 3
- Dịch Vụ Cài Lại Windows 7,8,10 Tận Nhà Quận 4
- Dịch Vụ Cài Lại Windows 7,8,10 Tận Nhà Quận 3
- Tuyển Thợ Sửa Máy Tính – Thợ Sửa Máy In Tại Quận 4 Lương Trên 10tr
- Tuyển Thợ Sửa Máy Tính – Thợ Sửa Máy In Tại Quận 3
- Nạp Mực Máy In Đường Nguyễn Bá Tuyển Quận Tân Bình
- Top 10 Công Ty Lắp Trần Thạch Cao Ở Tại Quận Gò Vấp Tphcm
- So sánh LTE và WiFi
- Mời nhận Aegis Defenders, tựa game hành động cực hay đang miễn phí
- Dịch Vụ Sửa Máy Tính Đường Minh Phụng Quận 6