Cuprins:
Definiție - Ce înseamnă sesiunea de deturnare a sesiunii?
Deturnarea sesiunii are loc atunci când un jeton de sesiune este trimis către un browser client de pe serverul web în urma autentificării cu succes a unei logări a clientului. Un atac de deturnare a sesiunii funcționează atunci când compromite tokenul fie confiscând, fie ghicind ce va fi o sesiune autentică de jeton, obținând astfel acces neautorizat la serverul Web. Acest lucru poate duce la adulmirea ședințelor, atacuri de tip „man-in the middle” sau „man-in-browser”, troieni sau chiar implementarea de coduri JavaScript rău intenționate.
Dezvoltatorii web se tem mai ales de deturnarea sesiunilor, deoarece cookie-urile HTTP utilizate pentru a susține o sesiune a site-ului web pot fi blocate de un atacator.
Techopedia explică deturnarea sesiunii
În primele zile, protocolul HTTP nu suporta cookie-urile și, prin urmare, serverele Web și browserele nu conțineau protocolul HTTP. Evoluția deturnării de sesiuni a început în 2000, când au fost implementate serverele HTTP 1.0. HTTP 1.1 a fost modificat și modernizat pentru a sprijini super cookie-uri, ceea ce a determinat ca serverele Web și browserele Web să devină mai vulnerabile la deturnarea sesiunilor.
Dezvoltatorii web pot înscrie anumite tehnici pentru a ajuta la evitarea deturnării de sesiuni a site-urilor lor, inclusiv metode de criptare și folosind numere lungi, aleatorii pentru tastele sesiunii. Alte soluții sunt schimbarea cererilor de valoare a cookie-urilor și implementarea regenerațiilor de sesiune după conectare. Firesheep, o extensie Firefox, a permis atacurile de deturnare a sesiunilor publice, permițând accesul la cookie-urile personale. Site-urile de rețea socială precum Twitter și Facebook sunt, de asemenea, vulnerabile atunci când utilizatorii le adaugă preferințelor.
