آموزشگاه هک ، هک استار

آموزش هک از مبتدی تا پیشرفته توسط هک استار

آموزشگاه هک ، هک استار

آموزش هک از مبتدی تا پیشرفته توسط هک استار

طبقه بندی موضوعی
کلمات کلیدی

هکینگ لینوکس

هکر لینوکس

هک لینوکس

معرفی لینوکس

لینوکس چیست؟

لینوکس در هک

لینوکس برای هک

طرز هک کردن لینوکس

آموزش نفوذ به لینوکس

آموزش لینوکس هکر

آموزش دسترسی به لینوکس

امنیت و نفوذ

آموزش هکینگ و نفوذگری

اصطلاحات هک

آشنایی با اصطلاحات هک

آموزش هک لینوکس مبتدی

آموزش لینوکس در هک

آموزش هک لینوکس

آموزش هک آسان لینوکس

آموزش علوم هکینگ و نفوذگری

اصطلاح

آموزش هک ساده IP

آموزش هک آی پی

آموزش هک IP

آموزش نفوذ به آی پی

آموزش نفوذ به ip

ip چیست ؟

IP چیست؟

IP چیست

نکات خاص هک

بایگانی
آخرین مطالب
پربیننده ترین مطالب
محبوب ترین مطالب
مطالب پربحث‌تر
پیوندهای روزانه
پیوندها

راه‌ها و راهکارها برای جعل کردن کلید جلسه راه‌

چهارشنبه, ۱۳ مرداد ۱۳۹۵، ۱۱:۱۴ ب.ظ

راه‌ها و راهکارها

برای جعل کردن کلید جلسه راه‌های بسیاری وجود دارد:

Xss

با وجود حفره XSS، نفوذگر می‌تواند کدهای جاوااسکریپت روی سیستم قربانی اجرا کند.

از جمله کارهایی که می‌توان با جاوا اسکریپ انجام داد، سرقت Cookieها و جلسه‌ها است.

جلوگیری از XSS و همچنین HttpOnly کردن جلسه‌ها و کوکی‌ها از جمله راه‌های جلوگیری از این روش هستند.

استراق سمع(Session sidejacking)

در این روش نفوذگر از طریق packetهای TCP/IP اطلاعات رد و بدل شده را به روش استراق سمع (معمولاً در شبکه‌های بیسیم) دریافت و از آن کلید جلسه را استخراج می‌کند.

برای جلوگیری از این راه علاوه بر تأمین امنیت شخصی، استفاده از پروتکل امن(https) می‌تواند به جلوگیری از این روش کمک کند. شایان ذکر است که اگر در https استراق سمع صورت گیرد، مرورگر با نمایش پیغام خطا شما را مطلع می‌کند.

تثبیت نشست (session fixation)

در این روش نفوذگر کلید جلسه شخص مورد هدف را آن چیزی قرار می‌دهد که خود می‌خواهد. از این طریق شخص قربانی با وارد شدن به سایت (همراه با کلید جلسه که نفوذگر به او تحمیل کرده) این امکان را به مهاجم می‌دهد تا با استفاده از همان کلید جلسه خود را به جای قربانی معرفی کند.

برای جلوگیری از این روش، مهم‌ترین کار برقراری امنیت شخصی است و اعتماد نداشتن به لینک‌هایی که فرستاده می‌شود.

به عنوان مثال اگر مهاجم آدرسhttp://site.com/?SID=TEST را برای قربانی ارسال کند و قربانی بدون توجه به آدرس آنرا باز کند، با کلید جلسه معادل TEST وارد سایت می‌شود و اگر در سایت وارد شود، مهاجم نیز می‌تواند با TEST(یعنی مراجعه به آدرس گفته شده در بالا) وارد سایت شود.

سایر روش‌ها

از راه‌های دیگر می‌توان دسترسی داشتن از سرور و خواندن کلید جلسه‌ها یا حتی به حدس زدن کلید جلسه اشاره کرد.

به طور کلی علاوه بر روش‌های گفته شده، محدود کردن کلید جلسه به یک IP خاص نیز راه مناسبی برای مقابله با این نفوذ است. به این صورت که می‌توان در اطلاعات ذخیره شده جلسه، اطلاعاتی از قبیل IP نیز ذخیره و زمانی که اطلاعات درون جلسه تطابق داده می‌شوند، IP نیز تطابق داده شود و در صورتی ناهمخوانی، آن جلسه را باطل کرد.

یکی از راه‌های دیگری که می‌تواند در بهبود امنیت کمک کند، تعریف زمان timeout است. به این صورت که به عنوان مثال اگر بعد از گذشت مثلاً پنج دقیقه، کاربر هیچ فعالیتی در سایت نداشته باشد، آن جلسه باطل شود. این امر باعث می‌شود که حتی در صورت به سرقت رفتن کلید جلسه، اگر پس از مدتی نفوذگر بخواهد وارد سایت شود، سیستم اجازه ورود را به او ندهد.
➖➖➖➖➖➖➖➖➖➖

  • محمدرضا سلیمی

نظرات (۰)

هیچ نظری هنوز ثبت نشده است
ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم