Session Hijacking - Wikipedia
Session hijacking (Sessiya qaçırma) — kompüter elmində, bəzən kuki oğurluğu kimi də tanınan sessiya qaçırma, kompüter sistemindəki məlumat və ya xidmətlərə icazəsiz giriş əldə etmək üçün etibarlı kompüter seansının (bəzən də sessiya açarı adlanır) istismarıdır. Xüsusilə, istifadəçinin uzaq serverə autentifikasiyası üçün istifadə edilən sehrli kukinin (magic cookie) oğurlanmasına istinad etmək üçün istifadə olunur.
O, veb tərtibatçıları üçün xüsusi əhəmiyyət kəsb edir, çünki bir çox veb-saytlarda sessiya saxlamaq üçün istifadə edilən HTTP kukiləri[1] vasitəçi kompüterdən istifadə edən və ya qurbanın kompüterində saxlanılan kukilərə çıxışı olan təcavüzkar tərəfindən asanlıqla oğurlana bilər.[2] Müvafiq seans kukilərini uğurla oğurladıqdan sonra rəqib sessiyanın oğurlanmasını həyata keçirmək üçün Kuki keçin texnikasından istifadə edə bilər.[3] Modern web browsers use cookie protection mechanisms to protect the web from being attacked.[3]
Kuki oğurlanması adətən internetdə müştəri autentifikasiyasına qarşı istifadə olunur. Müasir veb-brauzerlər interneti hücumdan qorumaq üçün kuki mühafizə mexanizmlərindən istifadə edirlər.
Təcavüzkar həmçinin söhbəti izləmək üçün iyləmə proqramından istifadə edərək A və C arasında "sətirdə" ola bilər. Bu "ortadakı adam hücumu" kimi tanınır.
Metodlar
redaktəSessiyanı oğurlamaq üçün istifadə edilən dörd əsas üsul var. Bunlar:
- Sessiya fiksasiyası, burada təcavüzkar istifadəçinin seans identifikatorunu onlara məlum olan birinə təyin edir, məsələn, istifadəçiyə xüsusi sessiya id-si olan keçidlə e-poçt göndərməklə. Təcavüzkar indi yalnız istifadəçi daxil olana qədər gözləməlidir.
- Təcavüzkarın sessiya kukisini oğurlamaq üçün iki tərəf arasında şəbəkə trafikini oxumaq üçün paket iyləməsindən (packet analyzer) istifadə etdiyi seans tərəfi krikotajı. Bir çox veb-saytlar təcavüzkarların parolu görməsinin qarşısını almaq üçün giriş səhifələri üçün SSL şifrələməsindən istifadə edir, lakin autentifikasiya edildikdən sonra saytın qalan hissəsi üçün şifrələmədən istifadə etmir. Bu, şəbəkə trafikini oxuya bilən təcavüzkarlara serverə və ya müştəri tərəfindən baxılan veb səhifələrə təqdim edilən bütün məlumatları ələ keçirməyə imkan verir. Bu məlumatlara sessiya kukisi daxil olduğundan, parolun özü pozulmasa belə, onlara qurbanı təqlid etməyə imkan verir.[1] Təminatsız Wi-Fi qaynar nöqtələr xüsusilə həssasdır, çünki şəbəkəni paylaşan hər kəs ümumiyyətlə digər qovşaqlar və giriş nöqtəsi arasında veb trafikin çoxunu oxuya biləcək.
- Saytlararası skript, burada təcavüzkar istifadəçinin kompüterini serverə aid olduğu üçün etibarlı hesab edilən işlək kod üçün aldadır və təcavüzkara kukinin surətini əldə etməyə və ya digər əməliyyatları yerinə yetirməyə imkan verir.
- Zərərli proqram və arzuolunmaz proqramlar istifadəçinin xəbəri olmadan brauzerin kuki fayllarını oğurlamaq üçün brauzerin oğurlanmasından istifadə edə və sonra istifadəçinin xəbəri olmadan hərəkətlər (Android proqramlarının quraşdırılması kimi) həyata keçirə bilər. Fiziki girişi olan təcavüzkar sadəcə olaraq, məsələn, istifadəçinin kompüterinin və ya serverinin müvafiq hissəsinin faylını və ya yaddaş məzmununu əldə etməklə sessiya açarını oğurlamağa cəhd edə bilər.
İstismarlar
redaktəFiresheep
redaktə2010-cu ilin oktyabrında Firesheep adlı Mozilla Firefox genişləndirilməsi buraxıldı və o, şifrələnməmiş ictimai Wi-Fi istifadəçilərinə hücum etmək üçün sessiya oğruları üçün asan giriş nöqtəsi təmin etdi. Facebook, Twitter və istifadəçinin öz seçimlərinə əlavə etdiyi hər hansı vebsaytlar Firesheep istifadəçisinə kukilərdən şəxsi məlumatlara asanlıqla daxil olmağa və ictimai Wi-Fi istifadəçisinin şəxsi əmlakını təhdid etməyə imkan verir. Yalnız aylar sonra, Facebook və Twitter, HTTP Təhlükəsizliyi təklif etməklə (və daha sonra tələb etməklə) cavab verdi.[4]
WhatsApp sniffer
redaktəWhatsApp Sniffer adlı proqram 2012-ci ilin may ayında Google Play-də istifadəyə verildi. O , proqram istifadəçisi ilə eyni şəbəkəyə qoşulmuş digər WhatsApp istifadəçilərinin mesajlarını göstərə bildi. O zaman WhatsApp düz mətn rabitəsi deyil, şifrələmə ilə XMPP infrastrukturundan istifadə edirdi.[5]
DroidSheep
redaktəDroidSheep veb-sessiyanı oğurlamaq üçün sadə bir Android alətidir (sidejacking). O, simsiz (802.11) şəbəkə bağlantısı vasitəsilə göndərilən HTTP paketlərini dinləyir və təkrar istifadə etmək üçün bu paketlərdən sessiya id-sini çıxarır. DroidSheep libpcap kitabxanasından istifadə edərək sessiyaları çəkə bilər və dəstəkləyir: açıq (şifrələnməmiş) şəbəkələr, WEP şifrəli şəbəkələr və WPA/WPA2 şifrəli şəbəkələr (yalnız PSK).[6][7] Bu proqram libpcap və arpspoof istifadə edir. APK Google Play-də əlçatan edilib, lakin Google tərəfindən ləğv edilib.
Qarşısının alınması
redaktəSessiyanın qaçırılmasının qarşısının alınması üsullarına aşağıdakılar daxildir:
- SSL/TLS istifadə etməklə tərəflər arasında ötürülən məlumat trafikinin şifrələnməsi ; xüsusilə sessiya açarı. Bu texnika internet əsaslı banklar və digər e-ticarət xidmətləri tərəfindən geniş istifadə olunur, çünki o, iyləmə tərzi hücumlarının qarşısını tamamilə alır. Bununla belə, yenə də başqa cür sessiya qaçırma əməliyyatını həyata keçirmək mümkün ola bilər. Buna cavab olaraq, Radboud Universitetinin Nijmegen alimləri 2013-cü ildə tətbiq sessiyasını SSL/TLS etimadnamələri ilə əlaqələndirməklə sessiyanın qaçırılmasının qarşısını almaq üçün bir üsul təklif ediblər.
- Sessiya açarı kimi uzun təsadüfi nömrə və ya sətirdən istifadə. Bu, təcavüzkarın sınaq və səhv və ya kobud güc hücumları vasitəsilə etibarlı sessiya açarını təxmin edə bilməsi riskini azaldır.
- Uğurlu girişdən sonra sessiya id-nin bərpası. Bu, seans fiksasiyasının qarşısını alır, çünki təcavüzkar daxil olduqdan sonra istifadəçinin sessiya id-sini bilmir.
- İstifadəçilər həmçinin vebsaytlardan istifadəni bitirdikdə onlardan çıxmaq istəyə bilərlər, lakin bu, Firesheep kimi hücumlardan qorunmayacaq.
Həmçinin bax
redaktəİstinadlar
redaktə- ↑ 1 2 "Veb poçtunun wi-fi oğurlanması xəbərdarlığı". BBC News. 2007-08-03. 2011-07-28 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-04.
- ↑ wunderwuzzi23. "Kukidən istifadə edərək Buludlara dönün". Pass The Cookie. 2018-12-16. 2020-03-02 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-04.
- ↑ 1 2 Bugliesi, Michele; Calzavara, Stefano; Focardi, Riccardo; Khan, Wilayat. "CookiExt: Brauzeri seans qaçırma hücumlarına qarşı yamaq". Journal of Computer Security. 23 (4). 2015-09-16: 509–537. doi:10.3233/jcs-150529. hdl:10278/3663357. ISSN 1875-8924.
- ↑ "Facebook artıq SSL ilə şifrələnib". The H. 2011-01-27. 2023-01-04 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-04.
- ↑ "WhatsApp artıq düz mətn göndərmir". The H. 2012-08-24. 2022-12-31 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-04.
- ↑ "DroidSheep". 2017-02-27 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-04.
- ↑ "DroidSheep Bloq". 2016-11-20 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-04.