Session Fixation là một trong kỹ thuật tấn công web. Kẻ tiến công lừa người tiêu dùng sử dụng session ID quan trọng. Sau khi người dùng đăng nhtràn vào vận dụng web bằng session ID được hỗ trợ, kẻ tiến công thực hiện session ID đúng theo lệ này để giành quyền truy vấn vào tài khoản của người tiêu dùng.Quý Khách đang xem: Session fixation là gì

1. Session Identifiers: Ưu, nhược điểm

Session identifiers (session ID) được thực hiện nhằm chuẩn xác người dùng trong các áp dụng web. Công nghệ này còn có cả ưu và điểm yếu kém một mực.

Bạn đang xem: Session fixation là gì

Ưu điểm: Nếu không tồn tại session ID, người dùng sẽ cần đăng nhập lệ những vận dụng web thường xuyên rộng thế vị một lượt trong một phiên thao tác làm việc.


*

Nhược điểm:

2. Cách thức hoạt động vui chơi của cuộc tấn công Session Fixation


*

Một cuộc tấn công session fixation điển hình nổi bật được triển khai nhỏng sau:

Các quy trình tiến độ đúng mực của cuộc tấn công và độ khó khăn của nó dựa vào vào một trong những vài nhân tố. Phần Khủng là biện pháp bên cải tiến và phát triển cách xử lý những session ID. Nếu gật đầu đồng ý session ID từ URL (Thông sang 1 GET request) thì cuộc tấn công cực kỳ đơn giản dễ dàng. Nếu đồng ý session ID từ POST request, kẻ tấn công hoàn toàn có thể phải khởi tạo một trang web hàng fake. Sẽ tinh vi hơn (Nhưng không phải là bất khả thi) giả dụ những session ID chỉ được chấp nhận tự cookie. lúc đó, kẻ tiến công cần thực hiện thêm vài ba kỹ thuật trung gian (Ví dụ: Cross-site Scripting (XSS)).

Xem thêm: Ca Sĩ Jessie J Là Ai - Channing Tatum Và Jessie J Chia Tay Lần 3

3. Biện pháp cản lại Session Fixation

Nguyên nhân chủ yếu của session fixation là áp dụng website thiếu hụt bảo mật thông tin và các phương thức lập trình khômg xuất sắc tương quan đến phần cai quản session:

Trường vừa lòng tệ độc nhất vô nhị, công ty cải tiến và phát triển ko kiểm soát tính đúng theo lệ của session ID. Do kia, bất kỳ chuỗi làm sao (Hoặc chỉ cần vừa lòng format làm sao đó) có thể được hỗ trợ làm session ID. Vấn đề này làm cho cho những cuộc tấn công session fixation trsinh sống buộc phải vượt dễ ợt.Đôi khi, các nhà cải tiến và phát triển chỉ tạo thành session ID trước lúc người tiêu dùng đăng nhập cùng ko khi nào đổi khác nó. Đây là ngulặng nhân điển hình của các cuộc tấn công session fixation.Nếu bên trở nên tân tiến đồng ý ID phiên từ bỏ GET hoặc POST request, chúng sẽ khiến cho kẻ tấn công tiện lợi rộng trong Việc cưỡng chế một session ID cho tất cả những người cần sử dụng.

Có một vài giải pháp để rời session fixation:

Có thể thực hiện web vulnerability scanner để kiểm soát coi trang web hoặc áp dụng web của doanh nghiệp bao gồm ngẫu nhiên lỗ hổng session fixation nào ko, nhưng session fixation tương tự nhỏng các lỗ hổng xúc tích với khôn xiết khó để vạc hiện tại auto.

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *