Session Fixation Là Gì

Share:

Session Fixation là 1 trong những kỹ thuật đánh web. Kẻ tiến công lừa người tiêu dùng áp dụng session ID tính chất. Sau khi người sử dụng đăng nhập khẩu phần mềm web bởi session ID được thỏa mãn, kẻ tiến công áp dụng session ID thích hợp lệ này để giành quyền truy vấn vào tài khoản của người sử dụng.

Bạn đang đọc: Session fixation là gì

Bài Viết: Session fixation là gì


1. Session Identifiers: Ưu, điểm yếu

Session identifiers (session ID) được áp dụng để xác thực người sử dụng giữa những phần mượt web. Công nghệ này gồm cả ưu and điểm yếu ổn định.

Điểm vượt trội: Nếu không tồn tại session ID, người tiêu dùng sẽ phải đăng nhập vào những ứng dụng web tiếp tục hơn thay thế sửa chữa vì một lần trong một phiên làm cho việc.


*

*

Một cuộc tấn công session fixation điển hình được triển khai như sau:

Kẻ tiến công truy cập trang đăng nhập và nhận session ID do ứng dụng web sản xuất được. Quy trình này rất có thể bỏ quá nếu như phần mềm gật đầu session ID bất kì.Nạn nhân truy vấn trang đăng nhập và đăng nhập chế độ mềm. Sau thời điểm chứng thực, phần mềm web dấn dạng người tiêu dùng qua session ID.Kẻ tiến công áp dụng mã session ID nhằm truy cập ứng dụng web, chiếm phần phiên và mạo danh nạn nhân. Những hành vi tiếp theo dựa dẫm vào kẻ tấn công and công suất phần mềm web.

Xem thêm: Chồng 1992 Vợ 1994 Nên Sinh Con Năm Nào Tốt? Chồng 1992 Vợ 1994 Sinh Con Năm 2022 Có Hợp Không


Những giai đoạn đúng chuẩn của cuộc tiến công and độ khó khăn của nó lệ thuộc vào một vài nhân tố. Số đông là phương thức nhà cải cách và phát triển xử lý các session ID. Nếu gật đầu đồng ý session ID trường đoản cú URL (Trải sang 1 GET request) thì cuộc tiến công rất đơn giản chơi. Nếu gật đầu đồng ý session ID từ bỏ POST request, kẻ tiến công hoàn toàn có thể phải tạo nên một website trả mạo. Sẽ nan giải hơn (Nhưng không bắt buộc là bất khả thi) nếu đông đảo session ID chỉ đc gật đầu đồng ý từ cookie. Khi đó, kẻ tiến công phải vận dụng thêm vài nghệ thuật trung gian (Ví dụ: Cross-site Scripting (XSS)).

3. Phương án chống lại Session Fixation

Nguyên nhân hầu hết của session fixation là phần mềm web nợ bảo mật and những phương pháp lập trình khômg cực tốt tác động đến phần cai quản trị session:

Điều khiếu nại tệ nhất, nhà cải cách và phát triển không kiểm tra tính thích hợp lệ của session ID. Do thế, bất kể chuỗi nào (Hoặc chỉ cần vừa ý format nào đó) rất có thể đc vừa lòng làm session ID. Điều đó làm cho những cuộc tiến công session fixation cũng trở thành quá dễ dàng.Nhiều khi, đầy đủ nhà phát triển chỉ tạo được session ID trước khi người tiêu dùng đăng nhập and không bao giờ căn chỉnh nó. Đó là nguyên nhân điển hình của không ít cuộc tiến công session fixation.Nếu nhà phát triển chấp nhận ID phiên tự GET hoặc POST request, chúng sẽ khiến cho kẻ tiến công dễ dãi hơn trong việc cưỡng chế một session ID cho người sử dụng.


Chứa một số biện pháp để tránh session fixation:

Phương thức công dụng đặc biệt là căn chỉnh session ID ngay lập tức sau khi người sử dụng đăng nhập. Điều kia cứu loại trừ hầu như những lỗ hổng session fixation.Một biện pháp đối phó bổ sung cập nhật là căn chỉnh session ID ví như có ngờ vực về hành vi sai trái tiềm ẩn. Ví dụ: tất cả thể kiểm tra xem vị trí IP hoặc user-agent của client có căn chỉnh hay không và nếu tất cả thì vừa lòng session ID mới.Nên vô hiệu hóa hóa session ID sau thời điểm hết thời hạn chờ. Điều đó để cho kẻ tiến công không có thời cơ tận dụng session ID thay định. Ví dụ: Sau 10 phút không có vận đụng nào sẽ tự động hóa đăng xuất.Có thể căn chỉnh session ID cùng với mọi hành động của bạn sử dụng. Đó là một biện pháp mạnh, tuy vậy, không cần thiết and có tác dụng liên quan đến trải nghiệm người sử dụng and công suất của trang web (Có thể ko triển khai được khi áp dụng applet). Để giảm thiểu tác động, bao gồm thể chỉnh sửa session ID trước từng hành động đặc biệt của người sử dụng trên website.Hãy nhớ áp dụng session cookie để quản trị session and không gật đầu session ID tự HTTP request and HTTP header.Một biện pháp đối phó khác là lưu những thuộc tính dành riêng cho người sử dụng trong session, xác minh chúng mỗi lúc có request and không đồng ý quyền truy cập nếu tin tức không khớp. Mọi thuộc tính đó rất có thể là địa điểm IP hoặc user agent (Tên trình chuẩn y web).


Có thể áp dụng web vulnerability scanner để kiểm tra xem trang web hoặc phần mềm web của người tiêu dùng có bất cứ lỗ hổng session fixation như thế nào không, cơ mà session fixation cũng như như hầu hết lỗ hổng xúc tích và ngắn gọn and cực khó khăn để phát hiện auto.

Thể Loại: Share kiến thức và kỹ năng Cộng Đồng
Bài Viết: Session Fixation Là Gì – Web13: Session Fixation

Thể Loại: LÀ GÌ

Nguồn Blog là gì: https://diymcwwm.com Session Fixation Là Gì – Web13: Session Fixation

Bài viết liên quan