Session Hijacking
Session Hijacking tritt auf, wenn ein Angreifer eine gültige Sitzung zwischen zwei Computern übernimmt. Der Angreifer stiehlt eine gültige Sitzungs-ID, um in das System einzubrechen und Daten auszuspähen.
Die meiste Authentifizierung erfolgt nur zu Beginn einer TCP-Sitzung. Beim TCP-Session Hijacking verschafft sich ein Angreifer Zugang, indem er eine TCP-Sitzung zwischen zwei Maschinen in der Mitte der Sitzung übernimmt.
Session Hijacking tritt auf, weil
- kein Kontosperrung für ungültige Sitzungs-IDs
- schwacher Algorithmus zur Generierung von Sitzungs-IDs
- unsichere Handhabung
- unbefristete Sitzungsablaufzeit
- kurze Sitzungs-IDs
- Übertragung im Klartext
Prozess des Session Hijacking
- Sniffen, das heißt einen Man-in-the-Middle (MITM)-Angriff ausführen, platzieren Sie sich zwischen Opfer und Server.
- Überwachen der Pakete, die zwischen Server und Benutzer fließen.
- Verbindung der Opfermaschine unterbrechen.
- Übernahme der Sitzung.
- Einschleusen neuer Pakete an den Server unter Verwendung der Sitzungs-ID des Opfers.
Schutz vor Session Hijacking
- einen sicheren Kommunikationskanal mit SSH (Secure Shell) erstellen
- Authentifizierungscookies über eine HTTPS-Verbindung senden
- Logout-Funktion implementieren, damit der Benutzer die Sitzung beenden kann
- die Sitzungs-ID nach erfolgreichem Login generieren
- verschlüsselte Daten zwischen Benutzern und dem Webserver austauschen
- eine Zeichenfolge oder lange Zufallszahl als Sitzungsschlüssel verwenden
Siehe auch
- Session Hijacking auf Wikipedia