Знаете ли вы, что хакер может совершать банковские переводы или онлайн-покупки от вашего имени, не похищая вашу регистрационную информацию?
Мы связываем файлы cookie с отслеживанием и раздражающей онлайн-рекламой, но они также сохраняют поисковые запросы, что позволяет нам посещать веб-сайты без ввода имени пользователя и пароля.
Однако, если кто-то перехватит файл cookie, это может привести к катастрофической кибератаке, называемой перехватом сеанса, которая может подвергнуть риску ваши конфиденциальные данные в руках злоумышленника и нанести большой ущерб, прежде чем вы даже узнаете, что произошло.
Давайте узнаем, что это такое и как вы можете предотвратить это!
Содержание
Что такое перехват сеанса?
При перехвате сеанса злоумышленник перехватывает и захватывает установленный сеанс между пользователем и хостом, например, веб-сервером, сеансом Telnet или любым другим соединением на основе TCP. Сеанс начинается, когда вы входите на веб-сайт или в приложение, например на веб-сайт социальной сети.
Он продолжается, пока вы входите в систему, проверяете свой профиль или участвуете в обсуждении, и заканчивается, когда вы выходите из системы. Но как веб-сервер узнает, что каждый ваш запрос на самом деле исходит от вас?
Вот и печеньки. После входа в систему вы отправляете свои учетные данные на веб-сервер. Он проверяет, кто вы, и дает вам идентификатор сеанса, используя файл cookie, который будет прикреплен к вам на время сеанса. Вот почему вы не выходите из приложения каждый раз, когда посещаете чей-то профиль, и почему интернет-магазин запоминает то, что вы положили в корзину, даже если вы обновляете страницу.
Но злоумышленники могут захватить сеанс, если они используют специальные методы управления сеансом или украдут ваш файл cookie. Таким образом, он может обмануть веб-сервер, заставив его поверить, что запросы исходят от вас, авторизованного пользователя.
Феномен перехвата сеанса стал известен в начале 2000-х годов, но до сих пор является одним из наиболее распространенных методов, используемых хакерами.
Свежий пример — группа Lapsus$, которая в этом году попала в список самых разыскиваемых преступников ФБР. Он использует инфекцию InfoStealer Malware для захвата сеанса.
Точно так же GenesisStore — это магазин только по приглашению, управляемый одноименной группой, которая продает скомпрометированные данные файлов cookie, и его список превышает 400 000+ ботов.
Типы сеансов записи
Перехват сеанса можно разделить на две основные категории, в зависимости от желания злоумышленника.
Активный: при активной атаке злоумышленник захватывает ваш сеанс, тем самым захватывая законное подключение клиента к ресурсу. В зависимости от места сеанса хакер может совершать онлайн-покупки, менять пароли или восстанавливать учетные записи. Типичным примером активной атаки является атака методом грубой силы, XSS или даже DDoS.
Источник: ОСВАП
Пассивный: при пассивной атаке злоумышленник не берет на себя управление сеансом и не изменяет его. Вместо этого они незаметно отслеживают трафик данных между вашим устройством и сервером, собирая любую конфиденциальную информацию. Обычно спуфинг IP-адресов и внедрение вредоносных программ используются для выполнения атак с пассивным внедрением.
Источник: ОСВАП
Как работает перехват сеанса?
HTTP — это протокол без сохранения состояния, что означает, что сервер не имеет памяти о работе клиента. Каждый новый HTTP-запрос соответствует новой единице работы, или, проще говоря, сервер предоставляет страницы клиенту, не запоминая предыдущие запросы клиента.
Однако при просмотре веб-страниц мы понимаем, что приложения в идеале знают, кто является клиентом (даже слишком хорошо!). Благодаря этой «памяти» сервера «можно создавать современные защищенные области веб-сайтов, онлайн-банков, служб веб-почты и т. д.
Для этого был создан плагин, который делает протокол без сохранения состояния, такой как HTTP с отслеживанием состояния: файлы cookie.
Сессии с отслеживанием состояния
После входа в систему веб-приложения, использующие сеанс с отслеживанием состояния, удаляют файл cookie сеанса. Это означает, что они полагаются на этот файл cookie для отслеживания клиента. Внутри файла cookie хранится уникальный код, который позволяет распознать клиента, например:
SESSIONID=ACF3D35F216AAEFC
Любой человек с указанным выше уникальным идентификатором или кодом сеанса будет аутентифицированным клиентом для сервера. Если злоумышленник сможет получить этот идентификатор, как показано на изображении ниже, он сможет использовать сеанс, который изначально был аутентифицирован для своей жертвы, либо перехватив законный сеанс, либо даже полностью захватив сеанс. Этот идентификатор обычно встроен в URL-адрес, в скрытое поле любой формы или в файлы cookie.
ОСВАП
Сессии без гражданства
С развитием Интернета появились решения для управления «памятью» сервера без использования файлов cookie сеанса. В веб-приложении, где интерфейс и серверная часть хорошо разделены и взаимодействуют только через API, лучшим решением может быть JVT (веб-токен JSON), подписанный токен, который позволяет внешнему интерфейсу использовать API, предоставляемые серверной частью.
Как правило, JVT хранится в sessionStorage браузера, области памяти, которую клиент сохраняет активной, пока вкладка не будет закрыта. Следовательно, открытие новой вкладки создает новый сеанс (в отличие от того, что происходит с файлами cookie).
Кража токена идентификатора клиента позволяет украсть сеанс пользователя и, таким образом, выполнить атаку с перехватом сеанса. Но как украсть этот токен?
В настоящее время наиболее распространенными методами, используемыми хакерами, являются:
№1. Сессия со стороны домкрата
Этот метод использует незащищенные сети, чтобы узнать ваш идентификатор сеанса. Злоумышленник использует снупинг (специальное программное обеспечение) и обычно нацелен на общедоступные сети Wi-Fi или веб-сайты без SSL-сертификатов, которые известны своей плохой безопасностью.
№ 2. Фиксация сеанса
Жертва использует идентификатор сеанса, созданный злоумышленником. Это можно сделать с помощью фишинговой атаки (через вредоносную ссылку), которая «исправляет» ваш идентификатор сеанса.
№3. Жестокий
Самый трудоемкий и малоэффективный метод. Во время этой атаки хакер не крадет ваши файлы cookie. Вместо этого он пробует все возможные комбинации, чтобы угадать ваш идентификатор сеанса.
№ 4. CSS или межсайтовый скриптинг
Хакер использует уязвимости на веб-сайтах или в приложениях для внедрения вредоносного кода. Когда пользователь посещает сайт, скрипт активируется, крадет файлы cookie пользователя и отправляет их злоумышленнику.
№ 5. Внедрение вредоносного ПО
Вредоносное ПО может выполнять несанкционированные действия на вашем устройстве для кражи личной информации. Он также часто используется для перехвата файлов cookie и отправки информации злоумышленнику.
№ 6. IP-спуфинг
Киберпреступник изменяет исходный IP-адрес своего пакета, чтобы он выглядел так, как будто он исходит от вас. Из-за поддельного IP-адреса веб-сервер думает, что это вы, и сессия перехватывается.
Как предотвратить захват сеанса?
Возможность перехвата сеанса обычно связана с безопасностью веб-сайтов или приложений, которые вы используете. Тем не менее, есть шаги, которые вы можете предпринять, чтобы защитить себя:
- Избегайте общедоступных сетей Wi-Fi, так как бесплатные точки доступа идеально подходят для киберпреступников. Как правило, они имеют слабую защиту и могут быть легко обмануты хакерами. Не говоря уже о том, что они всегда полны потенциальных жертв, чей трафик данных постоянно скомпрометирован.
- Любой сайт, не использующий SSL-сертификат, делает вас уязвимым, поскольку он не может шифровать трафик. Проверьте, безопасен ли сайт, найдя маленький замок рядом с URL-адресом.
- Установите приложение для защиты от вредоносных программ, чтобы обнаруживать и защищать ваше устройство от вредоносных программ и крыс, которые могут украсть личную информацию.
- Избегайте загрузки вредоносных программ с помощью официальных магазинов приложений или веб-сайтов загрузки приложений.
- Если вы получили сообщение с просьбой перейти по незнакомой ссылке, не делайте этого. Это может быть фишинговая атака, которая может заразить ваше устройство и украсть личную информацию.
Пользователь мало что может сделать против атак перехвата сеанса. Однако, наоборот, приложение может заметить, что другое устройство подключилось с тем же идентификатором сеанса. И на основе этого вы можете разработать стратегии смягчения последствий, такие как:
- Свяжите с каждым сеансом некоторые технические отпечатки или характеристики подключенного устройства, чтобы обнаружить изменения в зарегистрированных параметрах. Эта информация должна храниться в файле cookie (для сеансов с сохранением состояния) или JVT (для сеансов без сохранения состояния) в абсолютно зашифрованном виде.
- Если сеанс основан на файлах cookie, удалите файл cookie с атрибутом HTTPOnly, чтобы сделать его недоступным в случае атаки XSS.
- Настройте систему обнаружения вторжений (IDS), систему предотвращения вторжений (IPS) или решение для мониторинга сети.
- Некоторые службы выполняют вторичные проверки личности пользователя. Например, веб-сервер может проверять с каждым запросом, соответствует ли IP-адрес пользователя последнему использованному во время этого сеанса. Однако это не предотвращает атаки от кого-то, кто использует один и тот же IP-адрес, и может раздражать пользователей, чей IP-адрес может измениться во время сеанса просмотра.
- Кроме того, некоторые службы будут изменять значение файла cookie при каждом запросе. Это резко сокращает окно, в котором может работать злоумышленник, и упрощает определение того, произошла ли атака, но может вызвать другие технические проблемы.
- Используйте разные решения многофакторной аутентификации (MFA) для каждого сеанса пользователя.
- Поддерживайте все системы в актуальном состоянии с помощью последних исправлений и обновлений безопасности.
ФАКС
Чем перехват сеанса отличается от подмены сеанса?
Перехват сеанса предполагает выдачу себя за пользователя, а спуфинг — подмену пользователя. За последние несколько лет некоторые аналитики безопасности стали характеризовать последнее как разновидность перехвата сеанса.
Заключительные слова
В последние годы частота атак с перехватом сеанса увеличилась; поэтому становится все более важным понимать такие атаки и соблюдать превентивные меры. Однако по мере развития технологий атаки становятся все более изощренными; поэтому важно создать активные стратегии смягчения последствий перехвата сеанса.
Возможно, вам будет интересно узнать, сколько стоят ваши данные в даркнете.
![Что такое Bit Rot и как его предотвратить? [2023]](https://alltechreviews.ru/wp-content/uploads/2023/03/1678196354_Что-такое-Bit-Rot-и-как-его-предотвратить-2023-150x150.png)
![Как предотвратить киберлуфинг на рабочем месте [+5 Tools]](https://alltechreviews.ru/wp-content/uploads/2023/03/1678893249_Как-предотвратить-киберлуфинг-на-рабочем-месте-5-Tools-150x150.png)
