Session Fixation Là Gì

     

Session Fixation là 1 trong những kỹ thuật tấn công web. Kẻ tấn công lừa người tiêu dùng sử dụng session ID quánh biệt. Sau khi người tiêu dùng đăng nhập vào ứng dụng web bởi session ID được cung cấp, kẻ tiến công sử dụng session ID thích hợp lệ này nhằm giành quyền truy cập vào thông tin tài khoản của bạn dùng.Bạn vẫn xem: Session fixation là gì

1. Session Identifiers: Ưu, nhược điểm

Session identifiers (session ID) được áp dụng để xác thực người tiêu dùng trong các ứng dụng web. Technology này gồm cả ưu và nhược điểm độc nhất vô nhị định.

Bạn đang xem: Session fixation là gì

Ưu điểm: Nếu không tồn tại session ID, người tiêu dùng sẽ nên đăng nhập vào các ứng dụng web thường xuyên hơn thay vì một lần trong một phiên làm cho việc.


*

Nhược điểm:

2. Giải pháp thức hoạt động của cuộc tấn công Session Fixation


*

Một cuộc tấn công session fixation điển hình nổi bật được triển khai như sau:

Kẻ tiến công truy cập trang đăng nhập và nhận session ID do áp dụng web tạo thành ra. Bước này rất có thể bỏ quá giả dụ ứng dụng đồng ý session ID bất kì.Nạn nhân truy cập trang đăng nhập với đăng nhập vào ứng dụng. Sau khoản thời gian xác thực, áp dụng web dìm dạng người dùng qua session ID.Kẻ tấn công sử dụng mã session ID để truy vấn ứng dụng web, chỉ chiếm phiên cùng mạo danh nàn nhân. Các hành động tiếp theo nhờ vào vào kẻ tiến công và nhân kiệt ứng dụng web.

Các giai đoạn đúng mực của cuộc tiến công và độ khó của nó dựa vào vào một vài yếu tố. Phần lớn là phương pháp nhà cách tân và phát triển xử lý những session ID. Nếu chấp nhận session ID từ bỏ URL (Thông qua 1 GET request) thì cuộc tấn công rất đơn giản. Nếu đồng ý session ID tự POST request, kẻ tấn công rất có thể phải chế tạo ra một website mang mạo. Sẽ tinh vi hơn (Nhưng chưa hẳn là bất khả thi) nếu các session ID chỉ được gật đầu đồng ý từ cookie. Lúc đó, kẻ tiến công phải sử dụng thêm vài nghệ thuật trung gian (Ví dụ: Cross-site Scripting (XSS)).

Xem thêm: Phòng Hành Chính Tiếng Anh Là Gì, Đọc Ngay Để Có Câu Trả Lời

3. Biện pháp chống lại Session Fixation

Nguyên nhân đa số của session fixation là áp dụng web thiếu bảo mật thông tin và các phương thức lập trình khômg giỏi liên quan cho phần quản lý session:

Trường hợp tệ nhất, nhà trở nên tân tiến không soát sổ tính phù hợp lệ của session ID. Vày đó, bất kỳ chuỗi làm sao (Hoặc chỉ cần thỏa mãn format nào đó) có thể được cung cấp làm session ID. Điều này làm cho những cuộc tiến công session fixation trở nên quá dễ dàng dàng.Thông thường, những nhà cải cách và phát triển chỉ tạo thành session ID trước khi người dùng đăng nhập và không bao giờ thay thay đổi nó. Đây là nguyên nhân điển hình của những cuộc tiến công session fixation.Nếu bên phát triển chấp nhận ID phiên từ bỏ GET hoặc POST request, chúng sẽ khiến kẻ tấn công tiện lợi hơn trong việc cưỡng chế một session ID cho người dùng.

Có một vài biện pháp nhằm tránh session fixation:

Phương pháp hiệu quả nhất là biến hóa session ID ngay lập tức sau khi người tiêu dùng đăng nhập. Điều này giúp loại bỏ phần đông các lỗ hổng session fixation.Một giải pháp đối phó bổ sung cập nhật là đổi khác session ID nếu như có ngờ vực về hành vi sai trái tiềm ẩn. Ví dụ: rất có thể kiểm tra xem địa chỉ IP hoặc user-agent của client có biến hóa hay không với nếu có thì cung cấp session ID mới.Nên vô hiệu hóa hóa session ID sau thời điểm hết thời hạn chờ. Điều này làm cho kẻ tấn công không có cơ hội lợi dụng session ID núm định. Ví dụ: Sau 10 phút không có vận động nào sẽ tự động đăng xuất.Có thể đổi khác session ID với mọi hành vi của người dùng. Đây là 1 trong biện pháp mạnh, mặc dù nhiên, không cần thiết và gồm khả năng tác động đến trải nghiệm người dùng và công suất của website (Có thể không tiến hành được khi thực hiện applet). Để giảm thiểu tác động, có thể chuyển đổi session ID trước từng hành động đặc biệt quan trọng của người dùng trên website.Hãy nhớ sử dụng session cookie để cai quản session và không gật đầu đồng ý session ID từ HTTP request và HTTP header.Một giải pháp đối phó không giống là lưu những thuộc tính dành riêng riêng cho những người dùng vào session, xác minh chúng mỗi một khi có request và không đồng ý quyền truy vấn nếu thông tin không khớp. Những thuộc tính đó có thể là địa chỉ IP hoặc user agent (Tên trình phê duyệt web).

Xem thêm: Cách Nhận Tiền Cod Giao Hàng Nhanh, Tiền Thu Hộ Cod Có Được Ứng Trước Khi Giao Không

Có thể áp dụng web vulnerability scanner để kiểm tra xem trang web hoặc áp dụng web của bạn có ngẫu nhiên lỗ hổng session fixation nào không, tuy thế session fixation tương tự như như các lỗ hổng xúc tích và rất cạnh tranh để phát hiện nay tự động.