Hình thức tấn công MIT M Chiếm quyền điều khiển Session

Một phần của tài liệu bài thi cuối kỳ môn an ninh mạng viễn thông đề tài giao thức ssl tls (Trang 27 - 28)

Chiếm quyền điều khiển Session

Thuật ngữ chiếm quyền điều khiển session (session hijacking) chứa đựng một loạt các tấn công khác nhau. Nhìn chung, các tấn công có liên quan đến sự khai thác session giữa các thiết bị đều được coi là chiếm quyền điều khiển session. Khi đề cập đến một session, chúng ta sẽ nói về kết nối giữa các thiết bị mà trong đó có trạng thái đàm thoại được thiết lập khi kết nối chính thức được tạo, kết nối này được duy trì và phải sử dụng một quá trình nào đó để ngắt nó.

Dưới đây là hành động chiếm quyền điều khiển session có liên quan đến các session HTTP. Nếu để ý một số website mà bạn truy cập có yêu cầu thông tin đăng nhập thì chúng chính là các ví dụ cho các kết nối hướng session. Bạn phải được thẩm định bởi website bằng username và password để thiết lập session, sau đó website sẽ duy trì một số hình thức kiểm tra session để bảo đảm bạn vẫn được đăng nhập và được phép truy cập tài nguyên (thường được thực hiện bằng một cookie), khi session kết thúc, các chứng chỉ username và password sẽ được xóa bỏ và đó cũng là khi session hết hiệu lực. Đây là một ví dụ cụ thể về session mà mặc dù chúng ta không phải lúc nào cũng nhận ra nó, các session sẽ xuất hiện liên tục và hầu hết sự truyền thông đều dựa vào một số hình thức của session hoặc hành động dựa trên trạng thái.

Hình 2.6 Một Session bình thường

Như những gì chúng ta thấy trong các tấn công trước, không có thứ gì khi đi qua mạng được an toàn, và dữ liệu session cũng không có gì khác biệt. Nguyên lý ẩn phía sau hầu hết các hình thức chiếm quyền điều khiển session là nếu có thể chặn phần nào đó dùng để thiết lập một session, khi đó bạn có thể sử dụng dữ liệu đó để thủ vai một trong số những thành phần có liên quan trong truyền thông và từ đó có thể truy cập các thông tin session. Ví dụ trên của chúng tôi có nghĩa rằng nếu chúng ta capture cookie được sử dụng để duy trì trạng thái session giữa trình duyệt của bạn và website mà bạn đang đăng nhập vào, thì chúng ta có thể trình cookie đó với máy chủ web và thủ vai kết nối của bạn. Điều này dường như có lợi với Attackers.

28 | Nhóm 05

Hình 2.7 Chiếm quyền điều khiển Session

Một phần của tài liệu bài thi cuối kỳ môn an ninh mạng viễn thông đề tài giao thức ssl tls (Trang 27 - 28)

Tải bản đầy đủ (PDF)

(34 trang)