Khác với kiểu tấn công ấn định phiên làm việc, hacker đánh cắp một sesion ID của người dùng khi họ đang trong phiên làm việc của mình. Và có thể đánh cắp session ID của người dùng, hacker có thể dùng những phương pháp sau:
Dự đoán phiên làm việc (Prediction session ID)
Hacker phải là người dùng hợp lệ của hệ thống, sau vài lần đăng nhập vào hệ thống, hacker xem xét các giá trị session ID nhận được, tìm ra quy luật phát sinh và từ đó có thể đoán được giá trị của một phiên làm việc của người dùng kế tiếp.
Vét cạn phiên làm việc (Brute force ID)
Hacker có thể tự tạo ra một chương trình gửi nhiều yêu cầu trong một khoảng thời gian đến trình chủ. Mỗi một yêu cầu kèm theo một session ID để tìm các session ID đang tồn tại. Hacker dựa vào thói quen của những nhà phát triển ứng dụng lấy thời gian hay địa chỉ IP của người dùng để tạo session ID để hạn chế vùng vét cạn.
Dùng đoạn mã đánh cắp phiên làm việc
Bằng cách chèn vào một đoạn mã thực thi trên chính trình duyệt của nạn nhân, hacker có thể lừa người dùng theo vết một liên kết để từ đó thực hiện đánh cắp cookie của người dùng và cách này được thực hiện thông qua lỗi Cross-Site Scripting. Sau khi có được phiên làm việc của người dùng, hacker vào phiên làm việc của họ.
Biện pháp phòng chống:
Nội dung cách phòng chống tương tự cách phòng chống trong kỹ thuật “Ấn định phiên làm việc” và cách tấn công Cross-Site Scripting.
Một số ưu ý:
+ Không được chủ quan khi nghĩ rằng thuật toán tạo session của ứng dụng là bảo mật, không ai có thể đoán được.
+ Với session ID quá ngắn, hacker có thể dùng kỹ thuật “Vét cạn”. Nhưng không vì thế mà cho rằng ứng dụng sẽ bảo mật với session ID dài và phức tạp vì kích thước session ID sẽ là một vấn đề nếu thuật toán không tốt.
CHƢƠNG III. TRIỂN KHAI PHƢƠNG PHÁP TẤN CÔNG TỪ CHỐI DỊCH V VÀ GIẢI PHÁP BẢO MẬT WEBSITE TRƢỜNG ĐẠI HỌC SƢ PHẠM KỸ
THUẬT VINH