2.3.7.1 Kỹ thuật tấn công
Là kỹ thuật tấn công cho phép Hacker mạo danh người dùng hợp lệ bằng cách gởi một Session ID hợp lệ đến người dùng, sau khi người dùng đăng nhập vào hệ thống thành công, Hacker sẽ dùng lại Session ID đó, nghiễn nhiên trở thành người dùng hợp lệ và khai thác thông tin hay với mục đích nào đó tại máy chủ.
Ví dụ: Attacker muốn chiếm được phiên làm việc của người dùng nào đấy đang sử dụng tài khoản ngân hàng.
(1) và (2) bước này Attacker sẽ thiết lập một phiên làm việc hợp lệ với máy chủ bằng cách đăng nhập tài khoản của mình vào. Như vậy đã có một phiên làm việc hợp lệ từ máy chủ ngân hàng.
(3) Sau khi đã đăng kí một phiên làm việc hợp lệ xong, Attacker mới gởi một email hay bằng mọi cách buộc người dùng phải click chuột vào đường dẫn với ID phiên làm việc của Attacker thì khi click vào đường đẫn đấy nó sẽ chuyển hướng đến máy chủ ngân hàng và yêu cầu nhập tài khoản, mật khẩu vào như bước (4).
(5) Như vậy người dùng đã đăng nhập vào máy chủ của trang web ngân hàng với ID phiên làm việc là do Attacker ấn định trước. ID phiên của Attacker và ID phiên của người dùng thực chất là một.
(6) Attacker đăng nhập vào trang web ngân hàng bằng tài khoản của người dùng và thực hiện được các ý đồ như Attacker muốn.
Với kỹ thuật này thì Attacker có thể dễ dàng qua mặt được các máy chủ mặt dù đã kiểm tra ID phiên làm việc.
Attacker gởi email có chứa link với một ID
phiên làm việc
Attacker đăng nhập trên trang web ngân hàng bằng tài khoản của mình Máy chủ web thiết lập một ID phiên làm việc trên máy tính của Attacker Attacker đăng nhập vào máy chủ bằng cách sử
dụng thông tin của Victim với ID phiên làm việc giống nhau
Người dùng click vào chuyển hướng đến trang web của ngân hàng
Người dùng đăng nhập vào máy chủ bằng cách sử dụng thông tin của chính mình và ID phiên làm việc cố định.
Hình 2.11 Nguyên lý tấn công ấn định phiên làm việc. 2.3.7.2 Một số biện pháp bảo mật khắc phục
Về người dùng:
Khuyến cáo người dùng phải biết tự bảo vệ mình là không được click vào những đường link không rõ nguồn gốc hay từ những người không rõ lai lịch để tránh tình trạng như ví dụ trên.
Khuyến cáo người dùng nên sử dụng tính năng thoát khỏi trình duyệt hay thoát khỏi máy chủ xóa hết những tập tin lưu trong bộ nhớ đệm như Cookie, tập tin lưu Session ID hay các thông tin người dùng.
Về máy chủ:
Không cho phép đăng nhập với một Session ID phiên làm việc có sẵn mà phải do máy chủ tự tạo mới ra.
Kết hợp Session ID với thông tin chứng thực đã được mã hóa SSL của người dùng
Thiết lập thời gian hết hiệu lực cho Session, tránh trường hợp Attacker có thể duy trì Session và sử dụng lâu dài..
Xóa bỏ những Session khi người dùng thoát khỏi hệ thống hay hết hiệu lực.