Захват сеанса - Session hijacking

В Информатика, захват сеанса, иногда также известный как угон файлов cookie это эксплуатация действительного компьютерная сессия - иногда также называют ключ сеанса- получить несанкционированный доступ к информации или услугам в компьютерной системе. В частности, он используется для обозначения кражи волшебное печенье используется для аутентификации пользователя на удаленном сервере. Это имеет особое отношение к веб-разработчики, как HTTP куки^[1] используемые для поддержания сеанса на многих веб-сайтах, могут быть легко украдены злоумышленником с помощью компьютера-посредника или с доступом к сохраненным файлам cookie на компьютере жертвы (см. Кража файлов cookie HTTP ). После успешной кражи соответствующих файлов cookie сеанса злоумышленник может использовать Передайте технику Cookie для выполнения перехвата сеанса. ^[2] Захват файлов cookie обычно используется для проверки подлинности клиентов в Интернете.^[3] Современные веб-браузеры используют механизмы защиты файлов cookie для защиты сети от атак.^[3]

Популярный метод - использование с маршрутизацией от источника IP-пакеты. Это позволяет злоумышленнику в момент B в сети, чтобы участвовать в разговоре между А и C побуждая IP-пакеты проходить через B машина.

Если исходная маршрутизация отключена, злоумышленник может использовать «слепой» захват, в результате чего он угадывает ответы двух машин. Таким образом, злоумышленник может отправить команду, но никогда не увидит ответа. Однако обычной командой будет установка пароля, разрешающего доступ из любого места в сети.

Злоумышленник также может быть "встроенным" между А и C с помощью программы для прослушивания разговора. Это известно как "атака "человек посередине" ".

История HTTP

В протоколах HTTP версий 0.8 и 0.9 отсутствовали файлы cookie и другие функции, необходимые для перехвата сеанса. Версия 0.9beta Mosaic Netscape, выпущенная 13 октября 1994 г., поддерживала файлы cookie.

Ранние версии HTTP 1.0 имели некоторые слабые места в безопасности, связанные с захватом сеанса, но их было трудно использовать из-за капризов большинства ранних серверов и браузеров HTTP 1.0. Поскольку HTTP 1.0 был обозначен как запасной вариант для HTTP 1.1 с начала 2000-х годов, а поскольку все серверы HTTP 1.0 по сути являются серверами HTTP 1.1, проблема перехвата сеанса превратилась в почти постоянную угрозу безопасности.^[4]

Вступление к суперпеченье и другие функции с модернизированным HTTP 1.1 позволили проблеме взлома стать постоянной проблемой безопасности. Стандартизация конечного автомата веб-серверов и браузеров усугубила эту постоянную проблему безопасности.

Методы

Существует четыре основных метода захвата сеанса. Эти:

Фиксация сеанса, где злоумышленник устанавливает идентификатор сеанса пользователя на один известный ему, например, отправляя пользователю электронное письмо со ссылкой, содержащей конкретный идентификатор сеанса. Злоумышленнику остается только дождаться входа пользователя в систему.
Поддомкрачивание стороны сеанса, где злоумышленник использует анализ пакетов читать сетевой трафик между двумя сторонами, чтобы украсть сеанс печенье. Многие веб-сайты используют SSL шифрование для авторизоваться страницы, чтобы злоумышленники не увидели пароль, но не использовали шифрование для остальной части сайта один раз аутентифицированный. Это позволяет злоумышленникам, которые могут читать сетевой трафик, перехватывать все данные, которые отправляются на сервер или веб-страницы, просматриваемые клиентом. Поскольку эти данные включают сеанс печенье, это позволяет им выдавать себя за жертву, даже если сам пароль не скомпрометирован.^[1] Необеспеченный Wi-Fi горячие точки особенно уязвимы, так как любой, кто использует сеть, как правило, сможет читать большую часть веб-трафика между другими узлами и точка доступа.
Межсайтовый скриптинг, где злоумышленник обманом заставляет компьютер пользователя запустить код, который считается заслуживающим доверия, поскольку кажется, что он принадлежит серверу, что позволяет злоумышленнику получить копию файла cookie или выполнить другие операции.
Вредоносное ПО и нежелательные программы можешь использовать взлом браузера чтобы украсть файлы cookie браузера без ведома пользователя, а затем выполнить действия (например, установить приложения для Android) без ведома пользователя.^[5] Злоумышленник с физическим доступом может просто попытаться украсть ключ сеанса путем, например, получения файла или содержимого памяти соответствующей части компьютера пользователя или сервера.

После успешного получения соответствующих файлов cookie сеанса злоумышленник может использовать Передайте технику Cookie для выполнения перехвата сеанса.

Эксплойты

Firesheep

В октябре 2010 г. Mozilla Firefox расширение называется Firesheep был выпущен, который облегчил злоумышленникам возможность атаковать пользователей незашифрованного публичного Wi-Fi. Такие сайты, как Facebook, Twitter, и все, что пользователь добавляет к своим предпочтениям, позволяет пользователю Firesheep легко получать доступ к личной информации из файлов cookie и угрожать личной собственности общедоступного пользователя Wi-Fi.^[6] Всего несколько месяцев спустя Facebook и Twitter ответили, предложив (а позже и потребовав) HTTP Secure на протяжении.^[7]^[8]

Сниффер WhatsApp

Приложение под названием "WhatsApp Sniffer" стало доступным на Гугл игры в мае 2012 г. появилась возможность отображать сообщения от других WhatsApp пользователи, подключенные к той же сети, что и пользователь приложения.^[9] В то время WhatsApp использовал XMPP инфраструктура с шифрованием, а не обмен текстовыми сообщениями.^[10]

ДроидОвца

DroidSheep - это простой Android-инструмент для захвата веб-сессий (сайдджекинга). Он прослушивает HTTP-пакеты, отправленные через беспроводное сетевое соединение (802.11), и извлекает идентификатор сеанса из этих пакетов, чтобы повторно использовать их. DroidSheep может захватывать сеансы с помощью библиотеки libpcap и поддерживает: открытые (незашифрованные) сети, сети с шифрованием WEP и сети с шифрованием WPA / WPA2 (только PSK). Это программное обеспечение использует libpcap и arpspoof.^[11]^[12] APK был доступен на Гугл игры но он был снят Google.

CookieCadger

CookieCadger - это графическое приложение Java, которое автоматизирует перехват и воспроизведение HTTP-запросов, чтобы помочь выявить утечку информации из приложений, использующих незашифрованные запросы GET. Это кроссплатформенная утилита с открытым исходным кодом, основанная на Wireshark пакет, который может контролировать проводной Ethernet, небезопасный Wi-Fi или загружать файл захвата пакетов для автономного анализа. Cookie Cadger использовался, чтобы подчеркнуть слабые стороны сайтов обмена молодежными командами, таких как Shutterfly (используется футбольной лигой AYSO) и TeamSnap.^[13]

Профилактика

Методы предотвращения перехвата сеанса включают:

Шифрование трафика данных, передаваемого между сторонами, используя SSL /TLS; в частности, ключ сеанса (хотя в идеале весь трафик за весь сеанс^[14]). Этот метод широко используется веб-банками и другими службами электронной коммерции, поскольку он полностью предотвращает атаки в стиле сниффинга. Тем не менее, по-прежнему возможно выполнить какой-либо другой захват сеанса. В ответ ученые из Radboud University Nijmegen предложили в 2013 году способ предотвратить захват сеанса путем сопоставления сеанса приложения с SSL /TLS полномочия^[15]
Использование длинного случайного числа или строки в качестве ключ сеанса. Это снижает риск того, что злоумышленник может просто угадать действительный ключ сеанса с помощью проб и ошибок или атак методом грубой силы.
Восстановление идентификатора сеанса после успешного входа в систему. Это предотвращает фиксация сеанса потому что злоумышленник не знает идентификатор сеанса пользователя после входа в систему.
Некоторые службы проводят вторичные проверки личности пользователя. Например, веб-сервер может проверять с каждым сделанным запросом, соответствует ли IP-адрес пользователя тому, который использовался последним во время этого сеанса. Однако это не предотвращает атаки со стороны тех, кто использует один и тот же IP-адрес, и может расстроить пользователей, чей IP-адрес может измениться во время сеанса просмотра.
В качестве альтернативы, некоторые службы будут изменять значение cookie с каждым запросом. Это значительно сокращает окно, в котором может действовать злоумышленник, и упрощает определение того, произошла ли атака, но может вызвать другие технические проблемы (например, два законных, точно синхронизированных запроса от одного и того же клиента могут привести к проверке токена. ошибка на сервере).
Пользователи также могут захотеть выйти из веб-сайтов, когда они закончат их использовать.^[16]^[17] Однако это не защитит от таких атак, как Firesheep.

Смотрите также

использованная литература

^ ^а ^б "Предупреждение об угоне Wi-Fi веб-почты". Новости BBC. 3 августа 2007 г.
^ wunderwuzzi23. "Поверните к облакам с помощью передачи cookie". Передайте cookie.
^ ^а ^б Bugliesi, Michele; Кальцавара, Стефано; Фокарди, Риккардо; Хан, Вилаят (16 сентября 2015 г.). "CookiExt: исправление браузера против атак с перехватом сеанса". Журнал компьютерной безопасности. 23 (4): 509–537. Дои:10.3233 / jcs-150529. ISSN 1875-8924.
^ «Взлом сеанса и HTTP-соединение». 19 октября 2020.
^ «Вредоносное ПО использует захват браузера для кражи файлов cookie». 19 октября 2020.
^ «Расширение Firefox крадет сеансы Facebook, Twitter и т. Д.». H. 25 октября 2010 г.
^ «Facebook теперь везде зашифрован с помощью SSL». H. 27 января 2011 г.
^ «Twitter добавляет опцию« Всегда использовать HTTPS »». H. 16 марта 2011 г.
^ «Инструмент Sniffer отображает сообщения WhatsApp других людей». H. 13 мая 2012 г.
^ «WhatsApp больше не отправляет простой текст». H. 24 августа 2012 г.
^ "DroidSheep".
^ "Блог DroidSheep".
^ «Как Shutterfly и другие социальные сети делают ваших детей уязвимыми для хакеров». Мать Джонс. 3 мая 2013 г.
^ "Шнайер о безопасности: Firesheep". 27 октября 2010 г.. Получено 29 мая 2011.
^ Бургерс, Виллем; Роэль Вердулт; Марко ван Экелен (2013). «Предотвращение перехвата сеанса путем привязки сеанса к учетным данным криптографической сети». Материалы 18-й Североевропейской конференции по безопасным ИТ-системам (NordSec 2013).
^ Увидеть «NetBadge: как выйти».
^ Смотрите также "Be Card Smart Online - Всегда выходить из системы".

[:0-1] а ^б "Предупреждение об угоне Wi-Fi веб-почты". Новости BBC. 3 августа 2007 г.

[2] wunderwuzzi23. "Поверните к облакам с помощью передачи cookie". Передайте cookie.

[:1-3] а ^б Bugliesi, Michele; Кальцавара, Стефано; Фокарди, Риккардо; Хан, Вилаят (16 сентября 2015 г.). "CookiExt: исправление браузера против атак с перехватом сеанса". Журнал компьютерной безопасности. 23 (4): 509–537. Дои:10.3233 / jcs-150529. ISSN 1875-8924.

[4] «Взлом сеанса и HTTP-соединение». 19 октября 2020.

[5] «Вредоносное ПО использует захват браузера для кражи файлов cookie». 19 октября 2020.

[6] «Расширение Firefox крадет сеансы Facebook, Twitter и т. Д.». H. 25 октября 2010 г.

[7] «Facebook теперь везде зашифрован с помощью SSL». H. 27 января 2011 г.

[8] «Twitter добавляет опцию« Всегда использовать HTTPS »». H. 16 марта 2011 г.

[9] «Инструмент Sniffer отображает сообщения WhatsApp других людей». H. 13 мая 2012 г.

[10] «WhatsApp больше не отправляет простой текст». H. 24 августа 2012 г.

[11] "DroidSheep".

[12] "Блог DroidSheep".

[13] «Как Shutterfly и другие социальные сети делают ваших детей уязвимыми для хакеров». Мать Джонс. 3 мая 2013 г.

[14] "Шнайер о безопасности: Firesheep". 27 октября 2010 г.. Получено 29 мая 2011.

[15] Бургерс, Виллем; Роэль Вердулт; Марко ван Экелен (2013). «Предотвращение перехвата сеанса путем привязки сеанса к учетным данным криптографической сети». Материалы 18-й Североевропейской конференции по безопасным ИТ-системам (NordSec 2013).

[16] Увидеть «NetBadge: как выйти».

[17] Смотрите также "Be Card Smart Online - Всегда выходить из системы".

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]