Перехват сеанса

В информатике , перехват сеанса иногда также известный как перехват файлов cookie , представляет собой использование действующего компьютерного сеанса , иногда также называемого сеансовым ключом , для получения несанкционированного доступа к информации или услугам в компьютерной системе. В частности, оно используется для обозначения кражи волшебного файла cookie, используемого для аутентификации пользователя на удаленном сервере. Это имеет особое значение для веб-разработчиков, поскольку файлы cookie HTTP, используемые для поддержания сеанса на многих веб-сайтах, могут быть легко украдены злоумышленником с использованием промежуточного компьютера или при доступе к сохраненным файлам cookie на компьютере жертвы (см. Кража файлов cookie HTTP ). После успешной кражи соответствующих файлов cookie сеанса злоумышленник может использовать технику Pass the Cookie для перехвата сеанса. Перехват файлов cookie обычно используется для аутентификации клиентов в Интернете. Современные веб-браузеры используют механизмы защиты файлов cookie для защиты сети от атак. ^{[ 1 ]}

Популярный метод — использование IP-пакетов, маршрутизируемых источником. Это позволяет злоумышленнику в точке B сети участвовать в разговоре между A и C, поощряя прохождение IP-пакетов через B. машину

Если маршрутизация источника отключена, злоумышленник может использовать «слепой» перехват, при котором он угадывает ответы двух машин. Таким образом, злоумышленник может отправить команду, но никогда не сможет увидеть ответ. Однако обычной командой будет установка пароля, разрешающего доступ из любого места в сети.

Злоумышленник также может быть «встроенным» между A и C, используя программу-прослушиватель для наблюдения за разговором. Это известно как «атака посредника».

История HTTP

В версиях протокола HTTP 0.8 и 0.9 отсутствовали файлы cookie и другие функции, необходимые для перехвата сеанса. Версия 0.9beta Mosaic Netscape, выпущенная 13 октября 1994 г., поддерживала файлы cookie.

Ранние версии HTTP 1.0 действительно имели некоторые недостатки безопасности, связанные с перехватом сеанса, но их было трудно использовать из-за особенностей большинства ранних серверов и браузеров HTTP 1.0. Поскольку HTTP 1.0 с начала 2000-х годов был обозначен как запасной вариант HTTP 1.1, а все серверы HTTP 1.0 по сути являются серверами HTTP 1.1, проблема перехвата сеанса превратилась в почти постоянную угрозу безопасности. ^{[ 2 ]}^{[ не удалось пройти проверку ]}

Внедрение суперкуки и других функций в модернизированном HTTP 1.1 позволило проблеме взлома стать постоянной проблемой безопасности. Стандартизация конечных автоматов веб-серверов и браузеров усугубила эту постоянную проблему безопасности.

Методы

Существует четыре основных метода, используемых для перехвата сеанса. Это:

Фиксация сеанса , когда злоумышленник устанавливает идентификатор сеанса пользователя на известный ему, например, отправляя пользователю электронное письмо со ссылкой, содержащей определенный идентификатор сеанса. Злоумышленнику теперь остается только дождаться, пока пользователь войдет в систему.
Взлом на стороне сеанса , когда злоумышленник использует перехват пакетов сеанса для чтения сетевого трафика между двумя сторонами и кражи файлов cookie . Многие веб-сайты используют SSL- шифрование для страниц входа , чтобы злоумышленники не увидели пароль, но не используют шифрование для остальной части сайта после аутентификации . Это позволяет злоумышленникам, которые могут читать сетевой трафик, перехватывать все данные, передаваемые на сервер , или веб-страницы, просматриваемые клиентом. Поскольку эти данные включают файл cookie сеанса , это позволяет им выдавать себя за жертву, даже если сам пароль не скомпрометирован. ^{[ 3 ]} Незащищенные Wi-Fi точки доступа особенно уязвимы, поскольку любой, кто использует сеть, как правило, сможет прочитать большую часть веб-трафика между другими узлами и точкой доступа .
Межсайтовый скриптинг , при котором злоумышленник обманом заставляет компьютер пользователя запускать код, который считается заслуживающим доверия, поскольку кажется, что он принадлежит серверу, что позволяет злоумышленнику получить копию файла cookie или выполнить другие операции.
Вредоносные и нежелательные программы могут использовать перехват браузера для кражи файлов cookie браузера без ведома пользователя, а затем выполнять действия (например, установку приложений Android) без ведома пользователя. ^{[ 4 ]} Злоумышленник, имеющий физический доступ, может просто попытаться украсть сеансовый ключ , например, получив содержимое файла или памяти соответствующей части компьютера пользователя или сервера.

После успешного получения соответствующих сеансовых файлов cookie злоумышленник может использовать технику передачи файлов cookie для перехвата сеанса.

Эксплойты

Огненный баран

Firesheep , расширение Firefox, представленное в октябре 2010 года, продемонстрировало уязвимости перехвата сеанса в незащищенных сетях. Он записывал незашифрованные файлы cookie с популярных веб-сайтов, позволяя пользователям перехватывать активные сеансы других пользователей в той же сети. Инструмент работал, отображая потенциальные цели на боковой панели, обеспечивая доступ к сеансу без кражи пароля. Поддерживаемые веб-сайты включали Facebook , Twitter , Flickr , Amazon , Windows Live и Google с возможностью использования сценариев для добавления других веб-сайтов. ^{[ 5 ]} Всего несколько месяцев спустя Facebook и Twitter ответили, предложив (а позже и потребовав) HTTP Secure повсюду. ^{[ 6 ]}^{[ 7 ]}

ДроидОвца

DroidSheep — это простой инструмент Android для перехвата веб-сессий (сайдджекинга). Он прослушивает HTTP-пакеты, отправленные через беспроводное сетевое соединение (802.11), и извлекает идентификатор сеанса из этих пакетов, чтобы повторно использовать их. DroidSheep может захватывать сеансы с помощью библиотеки libpcap и поддерживает: открытые (незашифрованные) сети, сети с шифрованием WEP и сети с шифрованием WPA/WPA2 (только PSK). Это программное обеспечение использует libpcap и arpspoof. ^{[ 8 ]}^{[ 9 ]} APK-файл был доступен в Google Play , но Google удалил его.

CookieCadger

CookieCadger — это графическое Java-приложение, которое автоматизирует перехват и воспроизведение HTTP-запросов, помогая выявить утечку информации из приложений, использующих незашифрованные запросы GET. Это кроссплатформенная утилита с открытым исходным кодом, основанная на пакете Wireshark , которая может отслеживать проводной Ethernet, незащищенный Wi-Fi или загружать файл захвата пакетов для автономного анализа. Cookie Cadger использовался, чтобы подчеркнуть недостатки сайтов обмена информацией о молодежных командах, таких как Shutterfly (используемый футбольной лигой AYSO) и TeamSnap. ^{[ 10 ]}

Профилактика

К методам предотвращения перехвата сеанса относятся:

Шифрование трафика данных, передаваемого между сторонами, с помощью SSL / TLS ; в частности сеансовый ключ (хотя в идеале весь трафик за всю сессию ^{[ 11 ]}). Этот метод широко используется интернет-банками и другими службами электронной коммерции, поскольку он полностью предотвращает атаки типа перехвата. Тем не менее, все еще возможно выполнить какой-либо другой вид перехвата сеанса. В ответ ученые из Университета Радбауд в Неймегене в 2013 году предложили способ предотвращения перехвата сеанса путем сопоставления сеанса приложения с SSL / TLS. учетными данными ^{[ 12 ]}
Использование длинного случайного числа или строки в качестве сеансового ключа . Это снижает риск того, что злоумышленник может просто угадать действительный сеансовый ключ методом проб и ошибок или методом перебора.
Восстановление идентификатора сеанса после успешного входа в систему. Это предотвращает фиксацию сеанса , поскольку злоумышленник не знает идентификатор сеанса пользователя после входа в систему.
Некоторые службы выполняют вторичную проверку личности пользователя. Например, веб-сервер может при каждом запросе проверять, соответствует ли IP-адрес пользователя тому, который последний раз использовался во время этого сеанса. Однако это не предотвращает атаки со стороны тех, кто использует один и тот же IP-адрес, и может расстраивать пользователей, чей IP-адрес может измениться во время сеанса просмотра .
Альтернативно, некоторые службы изменяют значение файла cookie при каждом запросе. Это значительно сокращает окно, в котором может действовать злоумышленник, и позволяет легко определить, имела ли место атака, но может вызвать другие технические проблемы (например, два законных, близко по времени запроса от одного и того же клиента могут привести к проверке токена). ошибка на сервере).
Пользователи также могут захотеть выйти из веб-сайтов, когда они завершат их использование. ^{[ 13 ]}^{[ 14 ]} Однако это не защитит от таких атак, как Firesheep .

См. также

Ссылки

^ Бульези, Микеле; Кальзавара, Стефано; Фокарди, Риккардо; Хан, Вилаят (16 сентября 2015 г.). «CookiExt: исправление браузера от атак перехвата сеанса». Журнал компьютерной безопасности . 23 (4): 509–537. дои : 10.3233/jcs-150529 . hdl : 10278/3663357 . ISSN 1875-8924 .
^ «Перехват сеанса и HTTP-коммуникация» . 19 октября 2020 г. Архивировано из оригинала 31 октября 2020 г.
^ «Предупреждение о взломе Wi-Fi веб-почты» . Новости Би-би-си . 3 августа 2007 г.
^ «Вредоносное ПО использует перехват браузера для кражи файлов cookie» . 19 октября 2020 г.
^ «Расширение Firefox крадет сеансы Facebook, Twitter и т. д.» . Х. 25 октября 2010 г. Архивировано из оригинала 6 марта 2024 г.
^ «Facebook теперь полностью зашифрован с помощью SSL» . Х. 27 января 2011 г.
^ «В Twitter добавлена опция «Всегда использовать HTTPS»» . Х. 16 марта 2011 г.
^ «ДроидОвца» .
^ «Блог DroidSheep» . Архивировано из оригинала 20 ноября 2016 г. Проверено 7 августа 2012 г.
^ «Как Shutterfly и другие социальные сайты делают ваших детей уязвимыми для хакеров» . Мать Джонс . 03.05.2013. Архивировано из оригинала 19 мая 2024 г.
^ «Шнайер о безопасности: Огненная овца» . 27 октября 2010 г. Проверено 29 мая 2011 г.
^ Бургерс, Виллем; Роэль Вердулт; Марко ван Экелен (2013). «Предотвратите перехват сеанса путем привязки сеанса к учетным данным криптографической сети» . Безопасные ИТ-системы . Конспекты лекций по информатике. Том. 8208. стр. 33–50. дои : 10.1007/978-3-642-41488-6_3 . ISBN 978-3-642-41487-9 .
^ См. «NetBadge: Как выйти из системы» .
^ См. также «Будьте умны в использовании карт онлайн — всегда выходите из системы» .

[:1-1] Бульези, Микеле; Кальзавара, Стефано; Фокарди, Риккардо; Хан, Вилаят (16 сентября 2015 г.). «CookiExt: исправление браузера от атак перехвата сеанса». Журнал компьютерной безопасности . 23 (4): 509–537. дои : 10.3233/jcs-150529 . hdl : 10278/3663357 . ISSN 1875-8924 .

[2] «Перехват сеанса и HTTP-коммуникация» . 19 октября 2020 г. Архивировано из оригинала 31 октября 2020 г.

[:0-3] «Предупреждение о взломе Wi-Fi веб-почты» . Новости Би-би-си . 3 августа 2007 г.

[4] «Вредоносное ПО использует перехват браузера для кражи файлов cookie» . 19 октября 2020 г.

[5] «Расширение Firefox крадет сеансы Facebook, Twitter и т. д.» . Х. 25 октября 2010 г. Архивировано из оригинала 6 марта 2024 г.

[6] «Facebook теперь полностью зашифрован с помощью SSL» . Х. 27 января 2011 г.

[7] «В Twitter добавлена опция «Всегда использовать HTTPS»» . Х. 16 марта 2011 г.

[8] «ДроидОвца» .

[9] «Блог DroidSheep» . Архивировано из оригинала 20 ноября 2016 г. Проверено 7 августа 2012 г.

[10] «Как Shutterfly и другие социальные сайты делают ваших детей уязвимыми для хакеров» . Мать Джонс . 03.05.2013. Архивировано из оригинала 19 мая 2024 г.

[11] «Шнайер о безопасности: Огненная овца» . 27 октября 2010 г. Проверено 29 мая 2011 г.

[12] Бургерс, Виллем; Роэль Вердулт; Марко ван Экелен (2013). «Предотвратите перехват сеанса путем привязки сеанса к учетным данным криптографической сети» . Безопасные ИТ-системы . Конспекты лекций по информатике. Том. 8208. стр. 33–50. дои : 10.1007/978-3-642-41488-6_3 . ISBN 978-3-642-41487-9 .

[13] См. «NetBadge: Как выйти из системы» .

[14] См. также «Будьте умны в использовании карт онлайн — всегда выходите из системы» .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]