Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Session hijacking (Sessiya qaçırma) — kompüter elmində, bəzən kuki oğurluğu kimi də tanınan sessiya qaçırma, kompüter sistemindəki məlumat və ya xidmətlərə icazəsiz giriş əldə etmək üçün etibarlı kompüter seansının (bəzən də sessiya açarı adlanır) istismarıdır. Xüsusilə, istifadəçinin uzaq serverə autentifikasiyası üçün istifadə edilən sehrli kukinin (magic cookie) oğurlanmasına istinad etmək üçün istifadə olunur.
O, veb tərtibatçıları üçün xüsusi əhəmiyyət kəsb edir, çünki bir çox veb-saytlarda sessiya saxlamaq üçün istifadə edilən HTTP kukiləri vasitəçi kompüterdən istifadə edən və ya qurbanın kompüterində saxlanılan kukilərə çıxışı olan təcavüzkar tərəfindən asanlıqla oğurlana bilər. Müvafiq seans kukilərini uğurla oğurladıqdan sonra rəqib sessiyanın oğurlanmasını həyata keçirmək üçün Kuki keçin texnikasından istifadə edə bilər. Modern web browsers use cookie protection mechanisms to protect the web from being attacked.
Kuki oğurlanması adətən internetdə müştəri autentifikasiyasına qarşı istifadə olunur. Müasir veb-brauzerlər interneti hücumdan qorumaq üçün kuki mühafizə mexanizmlərindən istifadə edirlər.
Təcavüzkar həmçinin söhbəti izləmək üçün iyləmə proqramından istifadə edərək A və C arasında "sətirdə" ola bilər. Bu "ortadakı adam hücumu" kimi tanınır.
Metodlar
Sessiyanı oğurlamaq üçün istifadə edilən dörd əsas üsul var. Bunlar:
- Sessiya fiksasiyası, burada təcavüzkar istifadəçinin seans identifikatorunu onlara məlum olan birinə təyin edir, məsələn, istifadəçiyə xüsusi sessiya id-si olan keçidlə e-poçt göndərməklə. Təcavüzkar indi yalnız istifadəçi daxil olana qədər gözləməlidir.
- Təcavüzkarın sessiya kukisini oğurlamaq üçün iki tərəf arasında şəbəkə trafikini oxumaq üçün paket iyləməsindən (packet analyzer) istifadə etdiyi seans tərəfi krikotajı. Bir çox veb-saytlar təcavüzkarların parolu görməsinin qarşısını almaq üçün giriş səhifələri üçün SSL şifrələməsindən istifadə edir, lakin autentifikasiya edildikdən sonra saytın qalan hissəsi üçün şifrələmədən istifadə etmir. Bu, şəbəkə trafikini oxuya bilən təcavüzkarlara serverə və ya müştəri tərəfindən baxılan veb səhifələrə təqdim edilən bütün məlumatları ələ keçirməyə imkan verir. Bu məlumatlara sessiya kukisi daxil olduğundan, parolun özü pozulmasa belə, onlara qurbanı təqlid etməyə imkan verir. Təminatsız Wi-Fi qaynar nöqtələr xüsusilə həssasdır, çünki şəbəkəni paylaşan hər kəs ümumiyyətlə digər qovşaqlar və giriş nöqtəsi arasında veb trafikin çoxunu oxuya biləcək.
- Saytlararası skript, burada təcavüzkar istifadəçinin kompüterini serverə aid olduğu üçün etibarlı hesab edilən işlək kod üçün aldadır və təcavüzkara kukinin surətini əldə etməyə və ya digər əməliyyatları yerinə yetirməyə imkan verir.
- Zərərli proqram və arzuolunmaz proqramlar istifadəçinin xəbəri olmadan brauzerin kuki fayllarını oğurlamaq üçün brauzerin oğurlanmasından istifadə edə və sonra istifadəçinin xəbəri olmadan hərəkətlər (Android proqramlarının quraşdırılması kimi) həyata keçirə bilər. Fiziki girişi olan təcavüzkar sadəcə olaraq, məsələn, istifadəçinin kompüterinin və ya serverinin müvafiq hissəsinin faylını və ya yaddaş məzmununu əldə etməklə sessiya açarını oğurlamağa cəhd edə bilər.
İstismarlar
Firesheep
2010-cu ilin oktyabrında Firesheep adlı Mozilla Firefox genişləndirilməsi buraxıldı və o, şifrələnməmiş ictimai Wi-Fi istifadəçilərinə hücum etmək üçün sessiya oğruları üçün asan giriş nöqtəsi təmin etdi. Facebook, Twitter və istifadəçinin öz seçimlərinə əlavə etdiyi hər hansı vebsaytlar Firesheep istifadəçisinə kukilərdən şəxsi məlumatlara asanlıqla daxil olmağa və ictimai Wi-Fi istifadəçisinin şəxsi əmlakını təhdid etməyə imkan verir. Yalnız aylar sonra, Facebook və Twitter, HTTP Təhlükəsizliyi təklif etməklə (və daha sonra tələb etməklə) cavab verdi.
WhatsApp sniffer
WhatsApp Sniffer adlı proqram 2012-ci ilin may ayında Google Play-də istifadəyə verildi. O , proqram istifadəçisi ilə eyni şəbəkəyə qoşulmuş digər WhatsApp istifadəçilərinin mesajlarını göstərə bildi. O zaman WhatsApp düz mətn rabitəsi deyil, şifrələmə ilə XMPP infrastrukturundan istifadə edirdi.
DroidSheep
DroidSheep veb-sessiyanı oğurlamaq üçün sadə bir Android alətidir (sidejacking). O, simsiz (802.11) şəbəkə bağlantısı vasitəsilə göndərilən HTTP paketlərini dinləyir və təkrar istifadə etmək üçün bu paketlərdən sessiya id-sini çıxarır. DroidSheep libpcap kitabxanasından istifadə edərək sessiyaları çəkə bilər və dəstəkləyir: açıq (şifrələnməmiş) şəbəkələr, WEP şifrəli şəbəkələr və WPA/WPA2 şifrəli şəbəkələr (yalnız PSK). Bu proqram libpcap və arpspoof istifadə edir. APK Google Play-də əlçatan edilib, lakin Google tərəfindən ləğv edilib.
Qarşısının alınması
Sessiyanın qaçırılmasının qarşısının alınması üsullarına aşağıdakılar daxildir:
- SSL/TLS istifadə etməklə tərəflər arasında ötürülən məlumat trafikinin şifrələnməsi ; xüsusilə sessiya açarı. Bu texnika internet əsaslı banklar və digər e-ticarət xidmətləri tərəfindən geniş istifadə olunur, çünki o, iyləmə tərzi hücumlarının qarşısını tamamilə alır. Bununla belə, yenə də başqa cür sessiya qaçırma əməliyyatını həyata keçirmək mümkün ola bilər. Buna cavab olaraq, Radboud Universitetinin Nijmegen alimləri 2013-cü ildə tətbiq sessiyasını SSL/TLS etimadnamələri ilə əlaqələndirməklə sessiyanın qaçırılmasının qarşısını almaq üçün bir üsul təklif ediblər.
- Sessiya açarı kimi uzun təsadüfi nömrə və ya sətirdən istifadə. Bu, təcavüzkarın sınaq və səhv və ya kobud güc hücumları vasitəsilə etibarlı sessiya açarını təxmin edə bilməsi riskini azaldır.
- Uğurlu girişdən sonra sessiya id-nin bərpası. Bu, seans fiksasiyasının qarşısını alır, çünki təcavüzkar daxil olduqdan sonra istifadəçinin sessiya id-sini bilmir.
- İstifadəçilər həmçinin vebsaytlardan istifadəni bitirdikdə onlardan çıxmaq istəyə bilərlər, lakin bu, Firesheep kimi hücumlardan qorunmayacaq.
Həmçinin bax
İstinadlar
- "Veb poçtunun wi-fi oğurlanması xəbərdarlığı". BBC News. 2007-08-03. 2011-07-28 tarixində . İstifadə tarixi: 2023-01-04.
- wunderwuzzi23. "Kukidən istifadə edərək Buludlara dönün". Pass The Cookie. 2018-12-16. 2020-03-02 tarixində . İstifadə tarixi: 2023-01-04.
- Bugliesi, Michele; Calzavara, Stefano; Focardi, Riccardo; Khan, Wilayat. "CookiExt: Brauzeri seans qaçırma hücumlarına qarşı yamaq". Journal of Computer Security. 23 (4). 2015-09-16: 509–537. doi:10.3233/jcs-150529. :10278/3663357. ISSN 1875-8924.
- "Facebook artıq SSL ilə şifrələnib". The H. 2011-01-27. 2023-01-04 tarixində . İstifadə tarixi: 2023-01-04.
- "WhatsApp artıq düz mətn göndərmir". The H. 2012-08-24. 2022-12-31 tarixində . İstifadə tarixi: 2023-01-04.
- "DroidSheep". 2017-02-27 tarixində . İstifadə tarixi: 2023-01-04.
- "DroidSheep Bloq". 2016-11-20 tarixində . İstifadə tarixi: 2023-01-04.
Xarici keçidlər
- Session hijacking attack — OWASP
wikipedia, oxu, kitab, kitabxana, axtar, tap, meqaleler, kitablar, oyrenmek, wiki, bilgi, tarix, tarixi, endir, indir, yukle, izlə, izle, mobil, telefon ucun, azeri, azəri, azerbaycanca, azərbaycanca, sayt, yüklə, pulsuz, pulsuz yüklə, haqqında, haqqinda, məlumat, melumat, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, şəkil, muisiqi, mahnı, kino, film, kitab, oyun, oyunlar, android, ios, apple, samsung, iphone, pc, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, web, computer, komputer
Session hijacking Sessiya qacirma komputer elminde bezen kuki ogurlugu kimi de taninan sessiya qacirma komputer sistemindeki melumat ve ya xidmetlere icazesiz giris elde etmek ucun etibarli komputer seansinin bezen de sessiya acari adlanir istismaridir Xususile istifadecinin uzaq servere autentifikasiyasi ucun istifade edilen sehrli kukinin magic cookie ogurlanmasina istinad etmek ucun istifade olunur O veb tertibatcilari ucun xususi ehemiyyet kesb edir cunki bir cox veb saytlarda sessiya saxlamaq ucun istifade edilen HTTP kukileri vasiteci komputerden istifade eden ve ya qurbanin komputerinde saxlanilan kukilere cixisi olan tecavuzkar terefinden asanliqla ogurlana biler Muvafiq seans kukilerini ugurla ogurladiqdan sonra reqib sessiyanin ogurlanmasini heyata kecirmek ucun Kuki kecin texnikasindan istifade ede biler Modern web browsers use cookie protection mechanisms to protect the web from being attacked Kuki ogurlanmasi adeten internetde musteri autentifikasiyasina qarsi istifade olunur Muasir veb brauzerler interneti hucumdan qorumaq ucun kuki muhafize mexanizmlerinden istifade edirler Tecavuzkar hemcinin sohbeti izlemek ucun iyleme proqramindan istifade ederek A ve C arasinda setirde ola biler Bu ortadaki adam hucumu kimi taninir MetodlarSessiyani ogurlamaq ucun istifade edilen dord esas usul var Bunlar Sessiya fiksasiyasi burada tecavuzkar istifadecinin seans identifikatorunu onlara melum olan birine teyin edir meselen istifadeciye xususi sessiya id si olan kecidle e poct gondermekle Tecavuzkar indi yalniz istifadeci daxil olana qeder gozlemelidir Tecavuzkarin sessiya kukisini ogurlamaq ucun iki teref arasinda sebeke trafikini oxumaq ucun paket iylemesinden packet analyzer istifade etdiyi seans terefi krikotaji Bir cox veb saytlar tecavuzkarlarin parolu gormesinin qarsisini almaq ucun giris sehifeleri ucun SSL sifrelemesinden istifade edir lakin autentifikasiya edildikden sonra saytin qalan hissesi ucun sifrelemeden istifade etmir Bu sebeke trafikini oxuya bilen tecavuzkarlara servere ve ya musteri terefinden baxilan veb sehifelere teqdim edilen butun melumatlari ele kecirmeye imkan verir Bu melumatlara sessiya kukisi daxil oldugundan parolun ozu pozulmasa bele onlara qurbani teqlid etmeye imkan verir Teminatsiz Wi Fi qaynar noqteler xususile hessasdir cunki sebekeni paylasan her kes umumiyyetle diger qovsaqlar ve giris noqtesi arasinda veb trafikin coxunu oxuya bilecek Saytlararasi skript burada tecavuzkar istifadecinin komputerini servere aid oldugu ucun etibarli hesab edilen islek kod ucun aldadir ve tecavuzkara kukinin suretini elde etmeye ve ya diger emeliyyatlari yerine yetirmeye imkan verir Zererli proqram ve arzuolunmaz proqramlar istifadecinin xeberi olmadan brauzerin kuki fayllarini ogurlamaq ucun brauzerin ogurlanmasindan istifade ede ve sonra istifadecinin xeberi olmadan hereketler Android proqramlarinin qurasdirilmasi kimi heyata kecire biler Fiziki girisi olan tecavuzkar sadece olaraq meselen istifadecinin komputerinin ve ya serverinin muvafiq hissesinin faylini ve ya yaddas mezmununu elde etmekle sessiya acarini ogurlamaga cehd ede biler IstismarlarFiresheep 2010 cu ilin oktyabrinda Firesheep adli Mozilla Firefox genislendirilmesi buraxildi ve o sifrelenmemis ictimai Wi Fi istifadecilerine hucum etmek ucun sessiya ogrulari ucun asan giris noqtesi temin etdi Facebook Twitter ve istifadecinin oz secimlerine elave etdiyi her hansi vebsaytlar Firesheep istifadecisine kukilerden sexsi melumatlara asanliqla daxil olmaga ve ictimai Wi Fi istifadecisinin sexsi emlakini tehdid etmeye imkan verir Yalniz aylar sonra Facebook ve Twitter HTTP Tehlukesizliyi teklif etmekle ve daha sonra teleb etmekle cavab verdi WhatsApp sniffer WhatsApp Sniffer adli proqram 2012 ci ilin may ayinda Google Play de istifadeye verildi O proqram istifadecisi ile eyni sebekeye qosulmus diger WhatsApp istifadecilerinin mesajlarini gostere bildi O zaman WhatsApp duz metn rabitesi deyil sifreleme ile XMPP infrastrukturundan istifade edirdi DroidSheep DroidSheep veb sessiyani ogurlamaq ucun sade bir Android aletidir sidejacking O simsiz 802 11 sebeke baglantisi vasitesile gonderilen HTTP paketlerini dinleyir ve tekrar istifade etmek ucun bu paketlerden sessiya id sini cixarir DroidSheep libpcap kitabxanasindan istifade ederek sessiyalari ceke biler ve destekleyir aciq sifrelenmemis sebekeler WEP sifreli sebekeler ve WPA WPA2 sifreli sebekeler yalniz PSK Bu proqram libpcap ve arpspoof istifade edir APK Google Play de elcatan edilib lakin Google terefinden legv edilib Qarsisinin alinmasiSessiyanin qacirilmasinin qarsisinin alinmasi usullarina asagidakilar daxildir SSL TLS istifade etmekle terefler arasinda oturulen melumat trafikinin sifrelenmesi xususile sessiya acari Bu texnika internet esasli banklar ve diger e ticaret xidmetleri terefinden genis istifade olunur cunki o iyleme terzi hucumlarinin qarsisini tamamile alir Bununla bele yene de basqa cur sessiya qacirma emeliyyatini heyata kecirmek mumkun ola biler Buna cavab olaraq Radboud Universitetinin Nijmegen alimleri 2013 cu ilde tetbiq sessiyasini SSL TLS etimadnameleri ile elaqelendirmekle sessiyanin qacirilmasinin qarsisini almaq ucun bir usul teklif edibler Sessiya acari kimi uzun tesadufi nomre ve ya setirden istifade Bu tecavuzkarin sinaq ve sehv ve ya kobud guc hucumlari vasitesile etibarli sessiya acarini texmin ede bilmesi riskini azaldir Ugurlu girisden sonra sessiya id nin berpasi Bu seans fiksasiyasinin qarsisini alir cunki tecavuzkar daxil olduqdan sonra istifadecinin sessiya id sini bilmir Istifadeciler hemcinin vebsaytlardan istifadeni bitirdikde onlardan cixmaq isteye bilerler lakin bu Firesheep kimi hucumlardan qorunmayacaq Hemcinin baxHTTP Kuki Informasiya tehlukesizliyi OWASPIstinadlar Veb poctunun wi fi ogurlanmasi xeberdarligi BBC News 2007 08 03 2011 07 28 tarixinde Istifade tarixi 2023 01 04 wunderwuzzi23 Kukiden istifade ederek Buludlara donun Pass The Cookie 2018 12 16 2020 03 02 tarixinde Istifade tarixi 2023 01 04 Bugliesi Michele Calzavara Stefano Focardi Riccardo Khan Wilayat CookiExt Brauzeri seans qacirma hucumlarina qarsi yamaq Journal of Computer Security 23 4 2015 09 16 509 537 doi 10 3233 jcs 150529 10278 3663357 ISSN 1875 8924 Facebook artiq SSL ile sifrelenib The H 2011 01 27 2023 01 04 tarixinde Istifade tarixi 2023 01 04 WhatsApp artiq duz metn gondermir The H 2012 08 24 2022 12 31 tarixinde Istifade tarixi 2023 01 04 DroidSheep 2017 02 27 tarixinde Istifade tarixi 2023 01 04 DroidSheep Bloq 2016 11 20 tarixinde Istifade tarixi 2023 01 04 Xarici kecidlerSession hijacking attack OWASP