Web13: Kỹ thuật hack Session Hijacking

Chủ nhật - 17/07/2022 18:28
Trong bài viết này, Quản Trị Mạng mời các bạn tìm hiểu kỹ thuật hack Session Hijacking.

1. Nguyên nhân

Sau mỗi lần user đăng nhập thành công thì session sẽ được định nghĩa lại và có một session ID mới. Nếu attacker biết được Session ID mới này thì attacker có thể truy cập vào ứng dụng như một user bình thường. Có rất nhiều cách để attacker có thể lấy được session ID và chiếm phiên làm việc của user như: Tấn công theo kiểu man-in-the-middle: nghe lén và cướp Session ID của user. Hoặc tận dụng lỗi XSS trong lập trình để để lấy Session ID của người sử dụng.

2. Các cách khai thác

Session Sniffing

Như chúng ta thấy trong hình, đầu tiên, attacker sẽ sử dụng một công cụ sniffer để bắt session ID hợp lệ của nạn nhân, sau đó anh ta dùng session ID này để làm việc với Web Server dưới quyền của nạn nhân.

Web13: Kỹ thuật hack Session Hijacking

Cross-site script attack

Attacker có thể lấy session ID của nạn nhân bằng các đoạn mã độc hại chạy ở phía client, chẳng hạn JavaScript. Nếu một website tồn tại lỗ hổng XSS, attacker có thể tạo ra một đường link chứa mã JavaScript độc hại, gửi cho nạn nhân. Nếu nạn nhân click vào đường link này, cookie của anh ta sẽ bị gửi đến cho attacker.

Web13: Kỹ thuật hack Session Hijacking - Ảnh minh hoạ 2

3. Cách phòng chống

Một số phương pháp sau có thể được sử dụng để phòng chống Session Hijacking:

  • Sử dụng HTTPS trong việc truyền nhận dữ liệu để tránh bị nghe lén.
  • Sử dụng một chuỗi hoặc số ngẫu nhiên có độ dài lớn, nhằm hạn chế khả năng thành công của loại tấn công bruteforce.
  • Tạo lại session ID sau mỗi lần người dùng đăng nhập thành công, nhằm tránh tấn công Session Fixation.

Chúc các bạn có được nhiều kiến thức hơn sau mỗi bài học cùng Quản Trị Mạng!

Nguồn tin: quantrimang.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Chuyên trang
Thống kê
  • Đang truy cập253
  • Máy chủ tìm kiếm17
  • Khách viếng thăm236
  • Hôm nay44,236
  • Tháng hiện tại1,567,288
  • Tổng lượt truy cập94,470,105
Liên kết Website
Hộp thư góp ý
Đường dây nóng
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây