Dịch vụ sửa máy tính pc laptop máy in - Nạp mực máy in Trường Tín Tphcm
Dịch vụ sửa máy tính pc laptop máy in - Nạp mực máy in Trường Tín Tphcm

Web13: Kỹ thuật hack Session Hijacking

--
Web Tin Học Trường Tín có bài: Web13: Kỹ thuật hack Session Hijacking Trong bài viết này, Quản Trị Mạng mời các bạn tìm hiểu kỹ thuật hack Session Hijacking.

1. Nguyên nhân

Sau mỗi đợt user đăng nhập thành công thì session sẽ có khái niệm lại và có 1 session ID mới. Nếu attacker biết được Session ID mới này thì attacker có thể truy cập vào phần mềm như một user bình thường. Có biết bao phương pháp để attacker có thể lấy được session ID và chiếm phiên làm việc của user như: Tấn công theo kiểu man-in-the-middle: nghe lén và cướp Session ID của user. Hoặc tận dụng lỗi XSS trong lập trình để để lấy Session ID của người sử dụng.

2. Các cách khai thác

Session Sniffing

Như chúng ta thấy trong hình, đầu tiên, attacker sẽ sử dụng một công cụ sniffer để bắt session ID hợp thức của nạn nhân, sau đó anh ta dùng session ID này để làm việc với Web Server dưới quyền của nạn nhân.

Web13: Kỹ thuật hack Session Hijacking

Cross-site script attack

Attacker cũng có thể lấy session ID của nạn nhân bằng các đoạn mã độc hại chạy ở phía client, chẳng hạn JavaScript. Nếu một website tồn tại lỗ hổng XSS, attacker có thể tạo nên một đường link chứa mã JavaScript độc hại, gửi cho nạn nhân. Nếu nạn nhân click vào đường link này, cookie của anh ta sẽ bị gửi đến cho attacker.

Web13: Kỹ thuật hack Session Hijacking

3. Cách phòng chống

Một số cách thức sau cũng có thể có thể được sử dụng để phòng trừ Session Hijacking:

  • Sử dụng HTTPS trong việc truyền nhận dữ liệu để né bị nghe lén.
  • Sử dụng một chuỗi hoặc số ngẫu nhiên có tính dài lớn, nhằm có hạn khả năng thành công của loại tấn công bruteforce.
  • Tạo lại session ID sau mỗi đợt người dùng đăng nhập thành công, nhằm tránh tiến công Session Fixation.

Chúc các bạn có được nhiều kiến thức hơn sau mỗi bài học cùng Quản Trị Mạng!

  • Web10: Một số hình thức giả mạo http headers
  • Web9: Các kiểu khai thác XSS – Phần 3: Dom Based XSS
  • Web8: Các kiểu khai thác XSS – Phần 2: Stored XSS
  • Web11: HTTP Cookie và một số vấn đề bảo mật

Session Hijacking,kỹ thuật hack Session Hijacking,tấn công Session Hijacking,hack Session Hijacking,bảo mật web

Nội dung Web13: Kỹ thuật hack Session Hijacking được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.

Bài Viết Liên Quan


Xếp Hạng post

Bài Viết Khác

--