Segrest de sessió

En informàtica, el segrest de sessió, de vegades també conegut com a segrest de galetes, és l'explotació d'una sessió informàtica vàlida —de vegades també anomenada clau de sessió per obtenir accés no autoritzat a informació o serveis en un sistema informàtic. En particular, s'utilitza per referir-se al robatori d'una galeta màgica utilitzada per autenticar un usuari a un servidor remot. Té una rellevància particular per als desenvolupadors web, ja que les galetes HTTP [1] utilitzades per mantenir una sessió en molts llocs web poden ser robades fàcilment per un atacant mitjançant un ordinador intermedi o amb accés a les galetes desades a l'ordinador de la víctima (vegeu robatori de galetes HTTP). Després d'haver robat correctament les galetes de sessió adequades, un adversari pot utilitzar la tècnica Pass the Cookie per realitzar un segrest de sessió.[2] El segrest de galetes s'utilitza habitualment contra l'autenticació del client a Internet.[3] Els navegadors web moderns utilitzen mecanismes de protecció de galetes per protegir la web d'atacs.[3]

Un mètode popular és utilitzar paquets IP encaminats a la font. Això permet que un atacant del punt B de la xarxa participi en una conversa entre A i C animant els paquets IP a passar per la màquina de B.

Si l'enrutament de fonts està desactivat, l'atacant pot utilitzar el segrest "cec", mitjançant el qual endevina les respostes de les dues màquines. Així, l'atacant pot enviar una ordre, però mai pot veure la resposta. Tanmateix, una ordre habitual seria establir una contrasenya que permeti l'accés des d'altres llocs de la xarxa.

Un atacant també pot estar "en línia" entre A i C mitjançant un programa d'olor per veure la conversa. Això es coneix com un "atac home-in-the-middle".

Història d'HTTP

Les versions del protocol HTTP 0.8 i 0.9 no tenien galetes i altres funcions necessàries per al segrest de sessions. La versió 0.9beta de Mosaic Netscape, publicada el 13 d'octubre de 1994, admetia galetes.

Les primeres versions d'HTTP 1.0 tenien algunes debilitats de seguretat relacionades amb el segrest de sessions, però eren difícils d'explotar a causa dels capricis de la majoria dels primers servidors i navegadors HTTP 1.0. Com que HTTP 1.0 ha estat designat com a alternativa per a HTTP 1.1 des de principis dels anys 2000, i com que els servidors HTTP 1.0 són essencialment servidors HTTP 1.1, el problema del segrest de sessions s'ha convertit en un risc de seguretat gairebé permanent.[4]

La introducció de supercookies i altres funcions amb l'HTTP 1.1 modernitzat ha permès que el problema del segrest es converteixi en un problema de seguretat constant. L'estandardització de la màquina d'estat del servidor web i del navegador ha contribuït a aquest problema de seguretat en curs.

Mètodes

Hi ha quatre mètodes principals utilitzats per perpetrar un segrest de sessió. Aquests són:

  • Fixació de sessió, on l'atacant estableix l'identificador de sessió d'un usuari a un que conegui, per exemple, enviant a l'usuari un correu electrònic amb un enllaç que conté un identificador de sessió concret. L'atacant ara només ha d'esperar fins que l'usuari iniciï sessió.
  • Session side jacking, on l'atacant utilitza l'olor de paquets per llegir el trànsit de xarxa entre dues parts per robar la galeta de sessió. Molts llocs web utilitzen el xifratge SSL per a les pàgines d'inici de sessió per evitar que els atacants vegin la contrasenya, però no utilitzen el xifratge per a la resta del lloc un cop autenticat. Això permet als atacants que poden llegir el trànsit de la xarxa interceptar totes les dades que s'envien al servidor o a les pàgines web visualitzades pel client. Com que aquestes dades inclouen la galeta de sessió, els permet suplantar la identitat de la víctima, encara que la contrasenya no estigui compromesa. Els punts d'accés Wi-Fi no segurs són especialment vulnerables, ja que qualsevol persona que comparteixi la xarxa en general podrà llegir la major part del trànsit web entre altres nodes i el punt d'accés.
  • Cross-site scripting, on l'atacant enganya l'ordinador de l'usuari perquè executi codi que es considera fiable perquè sembla que pertany al servidor, permetent a l'atacant obtenir una còpia de la galeta o realitzar altres operacions.
  • El programari maliciós i els programes no desitjats poden utilitzar el segrest del navegador per robar els fitxers de galetes d'un navegador sense el coneixement de l'usuari i, a continuació, realitzar accions (com instal·lar aplicacions d'Android) sense que l'usuari ho sàpiga. Un atacant amb accés físic pot intentar robar la clau de sessió, per exemple, obtenint el fitxer o el contingut de la memòria de la part adequada de l'ordinador de l'usuari o del servidor.

Després d'haver adquirit correctament les galetes de sessió adequades, un adversari pot aprofitar la tècnica Pass the Cookie per realitzar un segrest de sessió.

Prevenció

Els mètodes per prevenir el segrest de sessions inclouen:

  • Xifratge del tràfic de dades passat entre les parts mitjançant SSL/TLS; en particular, la clau de sessió (encara que idealment tot el trànsit per a tota la sessió ). Els bancs basats en la web i altres serveis de comerç electrònic confien àmpliament en aquesta tècnica, perquè evita completament els atacs d'estil sniffing. Tanmateix, encara podria ser possible realitzar algun altre tipus de segrest de sessió. En resposta, els científics de la Universitat Radboud de Nijmegen van proposar el 2013 una manera d'evitar el segrest de sessions correlacionant la sessió de l'aplicació amb les credencials SSL/TLS.
  • Ús d'un nombre aleatori llarg o una cadena com a clau de sessió. Això redueix el risc que un atacant pugui simplement endevinar una clau de sessió vàlida mitjançant atacs de prova i error o de força bruta.
  • S'està regenerant l'identificador de sessió després d'una sessió correcta. Això impedeix la fixació de la sessió perquè l'atacant no coneix l'identificador de sessió de l'usuari després d'haver iniciat sessió.
  • Alguns serveis fan comprovacions secundàries amb la identitat de l'usuari. Per exemple, un servidor web podria comprovar amb cada sol·licitud realitzada que l'adreça IP de l'usuari coincideix amb la darrera utilitzada durant aquesta sessió. Això no evita els atacs d'algú que comparteix la mateixa adreça IP, però, i podria ser frustrant per als usuaris l'adreça IP dels quals pot canviar durant una sessió de navegació.
  • Alternativament, alguns serveis canviaran el valor de la galeta amb totes i cadascuna de les sol·licituds. Això redueix dràsticament la finestra en què un atacant pot operar i fa que sigui fàcil identificar si s'ha produït un atac, però pot causar altres problemes tècnics (per exemple, dues sol·licituds legítimes i molt puntuals del mateix client poden conduir a una comprovació de testimonis). error al servidor).
  • És possible que els usuaris també vulguin tancar la sessió dels llocs web sempre que acabin d'utilitzar-los. Tanmateix, això no protegirà contra atacs com Firesheep.

Referències

  1. «Warning of webmail wi-fi hijack» (en anglès). BBC News, 03-08-2007.
  2. wunderwuzzi23. «Pivot to the Clouds using Pass the Cookie» (en anglès). Pass The Cookie, 16-12-2018.
  3. 3,0 3,1 Bugliesi, Michele; Calzavara, Stefano; Focardi, Riccardo; Khan, Wilayat Journal of Computer Security, 23, 4, 16-09-2015, pàg. 509–537. DOI: 10.3233/jcs-150529. ISSN: 1875-8924.
  4. «Session Hijacking & HTTP Communication» (en anglès), 19-10-2020.

Read other articles:

Hushang Ansary Menteri KeuanganMasa jabatan1 Maret 1974 – 23 Desember 1977Perdana MenteriAmir-Abbas HoveidaJamshid Amouzegar PendahuluJamshid AmouzegarPenggantiMohammad YeganehMenteri Pariwisata dan InformasiMasa jabatan29 Desember 1971 – 1 Maret 1974Perdana MenteriAmir-Abbas Hoveida PendahuluHassan PakravanPenggantiMohammad Reza Ameli TehraniDuta Besar Iran untuk Amerika SerikatMasa jabatan25 Mei 1967 – 1 Oktober 1969Perdana MenteriAmir-Abbas Hoveida Pendahul...

 

Alfabet Futhark KunoJenis aksara Alfabet BahasaProto-Jermanik, Proto-Jermanik Barat, Nordik, Gotik, Franka, Alemannik Kuno, Jerman Hulu KunoPeriodeabad ke-1 hingga ke-8Aksara terkaitSilsilahHieroglif MesirAbjad Proto-SinaiAbjad FenisiaAlfabet Yunani (Barat)Alfabet Italik KunoAlfabet RuneAlfabet Futhark KunoAksara turunanAlfabet Futhark Muda, Alfabet Futhark Anglo-Saxon Artikel ini mengandung transkripsi fonetik dalam Alfabet Fonetik Internasional (IPA). Untuk bantuan dalam membaca si...

 

For other uses, see Almora (disambiguation). Town in Uttarakhand, IndiaAlmoraTownView of Almora in 2013Nicknames: Cultural Capital of Kumaon, Heart of KumaonAlmoraLocation in Uttarakhand, IndiaShow map of UttarakhandAlmoraAlmora (India)Show map of IndiaCoordinates: 29°35′50″N 79°39′33″E / 29.5971°N 79.6591°E / 29.5971; 79.6591Country IndiaStateUttarakhandDivisionKumaonDistrictAlmoraEstablished1568Founded byBalo Kalyan ChandGovernment • ...

Ini adalah nama Korea; marganya adalah Sung. Sung Dong-ilSung Dong-il pada tahun 2019Lahir27 April 1964 (umur 59)Incheon, Korea SelatanPendidikanYuhan Technical College – Desain MekanikPekerjaanAktorTahun aktif1987–sekarangAgenStar EntertainmentSuami/istriPark Kyung-hye ​(m. 2003)​Anak3Nama KoreaHangul성동일 Hanja成東鎰 Alih AksaraSeong Dong-ilMcCune–ReischauerSŏng Dongil Sung Dong-il (lahir 27 April 1964) adalah seorang aktor asal Korea Sel...

 

Daftar ini menuliskan para personel militer Amerika Serikat yang menerima Medal of Honor (diterjemahkan secara harafiah sebagai Medali Kehormatan) untuk keberanian dalam pertempuran selama Perang Filipina–Amerika Serikat. Terdapat 86 orang yang menerima Medali Kehormatan ini. Daftar penerima       Latar abu-abu dan  † menyatakan diberikan secara anumerta. Foto Nama Matra Anders, Frank L.Frank L. Anders Angkatan Darat Batson, Matthew A.Matthew A. Batson A...

 

Therapy involving intentional exposure to sunlightSee also: Photodynamic therapy and Photothermal therapyNot to be confused with Low-level laser therapy. Light box redirects here. For other uses, see Lightbox (disambiguation). Light therapyExample of light therapy for winter depressionICD-10-PCS6A6, GZJICD-999.83, 99.88MeSHD010789[edit on Wikidata] Light therapy, also called phototherapy or bright light therapy is the exposure to direct sunlight or artificial light at controlled wavelengt...

Halaman ini berisi artikel tentang grup musik. Untuk majalah, lihat Rolling Stone. Untuk penggunaan lainnya, lihat Rolling Stone Indonesia. Untuk Rolling Stone (disambiguasi), lihat The Rolling Stones (disambiguasi). The Rolling StonesMick Jagger (atas kiri), Keith Richards (atas kanan), Ronnie Wood (bawah kiri), Charlie Watts (bawah kanan)Informasi latar belakangNama lainGilingan BatuAsalLondon, InggrisGenre Rock blues rock rock and roll rhythm and blues hard rock blues psychedelic rock (60 ...

 

Election in Baltimore, Maryland, US 1971 Baltimore mayoral election ← 1967 November 9, 1971 1975 →   Candidate William Donald Schaefer Ross Zimmerman Pierpont Party Democratic Republican Popular vote 120,726 17,680 Percentage 87.23% 12.77% Mayor before election Thomas D'Alesandro III Democratic Elected Mayor William Donald Schaefer Democratic Elections in Maryland Federal government Presidential elections 1788–89 1792 1796 1800 1804 1808 1812 1816 1820 1824 1...

 

Currency of Bhutan Ngultrum (Dzongkha) ISO 4217CodeBTN (numeric: 064)Subunit0.01UnitSymbolNu.‎DenominationsSubunit 1⁄100chhertumSymbol chhertumCh.BanknotesNu.1, Nu.5, Nu.10, Nu.20, Nu.50, Nu.100, Nu.500, Nu.1000[1][2]Coins Rarely usedCh.5, Ch.10, Ch.25, Ch.50, Nu.1, Nu.3DemographicsUser(s) Bhutan (alongside Indian Rupee)IssuanceMonetary authorityRoyal Monetary Authority of Bhutan Websitewww.rma.org.btValuationInflation5.2...

Athens Metro station Αγία BαρβάραAgia VarvaraThe station's platforms in February 2023General informationLocationAgia VarvaraGreeceCoordinates37°59′23″N 23°39′34″E / 37.98972°N 23.65944°E / 37.98972; 23.65944Managed bySTASYLine(s)Platforms2Tracks2ConstructionStructure typeUndergroundAccessibleYesKey dates7 July 2020Opened[1]Services Preceding station Athens Metro Following station Korydallostowards Dimotiko Theatro Line 3 Agia Marinatowards...

 

1994 video gameAdventures of Yogi BearDeveloper(s)Blue TurtlePublisher(s)Cybersoft GameTek Empire Interactive MagifactDesigner(s)Martin Wakeley (SNES)Composer(s)George Villiers (SNES)Platform(s)Genesis, Super NESReleaseSuper NES NA: October 1, 1994EU: November 24, 1994JP: January 3, 1995[1]Genre(s)PlatformMode(s)Single-player Adventures of Yogi Bear is a platform game published by Cybersoft on October 1, 1994, in North America and later in Japan and Europe. The game is called Yogi Bea...

 

Fictional cybernetically enhanced police officer This article has multiple issues. Please help improve it or discuss these issues on the talk page. (Learn how and when to remove these template messages) This article relies excessively on references to primary sources. Please improve this article by adding secondary or tertiary sources. Find sources: RoboCop character – news · newspapers · books · scholar · JSTOR (January 2012) (Learn how and when ...

Jawa Banyumasan ꦮꦺꦴꦁꦨꦚꦸꦩꦱꦤ꧀ /ꦠꦶꦪꦁꦡꦺꦴꦪꦗꦼꦤꦺꦲꦤ꧀ /ꦥꦿꦶꦪꦤ꧀ꦠꦸꦤ꧀ꦡꦺꦴꦪꦗꦼꦤꦺꦲꦤ꧀Wòng Jawa Banyumasan / Tiyang Jawi Toyåjênéan / Priyantun Jawi ToyåjênéanJumlah populasi9.206.000[1]BahasaBahasa Jawa BanyumasanIndonesiaAgamaIslam 97,5%Kristen (Protestan dan Katolik) 2,5%Kelompok etnik terkaitsuku Jawa, suku Osing, dan suku Tengger Peta Pulau Jawa yang menunjukkan kawasan penuturan Bahasa Jawa Banyuma...

 

Nature preserve in southeastern New York, U.S. This article includes a list of general references, but it lacks sufficient corresponding inline citations. Please help to improve this article by introducing more precise citations. (October 2012) (Learn how and when to remove this message) Catskill ParkView to central Catskills from Twin MountainCatskill Park within New York stateLocationDelaware, Greene, Sullivan, Ulster, Catskill Mountains, New York, United StatesArea1,120 sq mi (2,...

 

Un portiere nel tentativo di effettuare una parata. Nel calcio, il portiere è il giocatore che ha l'obiettivo di difendere la porta della propria squadra. A tale scopo, è l'unico calciatore cui è permesso giocare il pallone con qualsiasi parte del suo corpo, incluse le mani.[1] Tale concessione è tuttavia valida solo all'interno della propria area di rigore: fuori da essa, al portiere vengono applicate le norme valide per i giocatori di movimento. La figura del portiere non ha una...

التوزيعالجغرافي:—تصنيفات اللغوية:لغات هندية أوروبيةلغات إيطاليقية فروع: لغات رومانسية التوزع التقريبي للغات في إيطاليا خلال القرن السادس قبل الميلاد جزء من سلسلة مقالات عنمواضيع هندوأوروبية اللغات قائمة اللغات الهندوأوروبية تاريخية ألبانية أرمنية بلطيقية سلافية بلطي...

 

يفتقر محتوى هذه المقالة إلى الاستشهاد بمصادر. فضلاً، ساهم في تطوير هذه المقالة من خلال إضافة مصادر موثوق بها. أي معلومات غير موثقة يمكن التشكيك بها وإزالتها. (يوليو 2019) منتخب جمهورية مقدونيا تحت 19 سنة لكرة القدم بلد الرياضة مقدونيا الشمالية  الفئة كرة قدم للرجال تحت 19 سنة&...

 

1643 English Civil War battle 51°25′53″N 2°24′04″W / 51.4313°N 2.4010°W / 51.4313; -2.4010 Battle of LansdownePart of First English Civil WarThe battlefield todaywith Sir Bevil Grenville's MonumentDate5 July 1643LocationLansdowne Hill, near Bath, SomersetResult Royalist victory Parliamentarian strategic victoryBelligerents Royalists ParliamentariansCommanders and leaders Lord Hopton +Sir Bevil Grenville  †Colonel John Giffard[1] Sir Willi...

この項目では、ソマリアの首都について説明しています。映画については「モガディシュ 脱出までの14日間」をご覧ください。 モガディシュ Muqdishoمقديشو モガディシュ市街 愛称 : Hamar 位置 モガディシュの位置 位置 モガディシュモガディシュ (ソマリア)ソマリアの地図を表示モガディシュモガディシュ (アフリカの角)アフリカの角の地図を表示モガディシュモ�...

 

1991 American filmDiana's Hair EgoDirected byEllen SpiroProduced byEllen SpiroCinematographyEllen SpiroRelease date 1991 (1991) Running time29 minutesCountryUnited StatesLanguageEnglish Diana's Hair Ego is an American documentary film about AIDS and one unconventional woman's efforts to educate her small, Southern community. While documenting an AIDS quarantine controversy in South Carolina with DIVA TV (Damned Interfering Video Activist TV), filmmaker Ellen Spiro met DiAna DiAna, a loca...