Ấn định phiên làm việc (Session Fixation)

Một phần của tài liệu Luận văn tốt nghiệp an ninh mạng và bảo mật web (Trang 26)

2.3.1.1Mô t

Là kỹ thuật tấn công cho phép Hacker mạo danh người dùng hợp lệ bằng cách gởi một Session ID hợp lệ đến người dùng, sau khi người dùng đăng nhập vào hệ

thống thành công, Hacker sẽ dùng lại Session ID đó, nghiễn nhiên trở thành người dùng hợp lệ và khai thác thông tin hay với mục đích nào đó tại máy chủ.

Ví dụ: Attacker muốn chiếm được phiên làm việc của người dùng nào đấy đang sử dụng tài khoản ngân hàng.

(1) và (2) bước này Attacker sẽ thiết lập một phiên làm việc hợp lệ với máy chủ bằng cách đăng nhập tài khoản của mình vào. Như vậy đã có một phiên làm việc hợp lệ từ máy chủ ngân hàng.

(3) Sau khi đã đăng kí một phiên làm việc hợp lệ xong, Attacker mới gởi một email hay bằng mọi cách buộc người dùng phải click chuột vào đường dẫn với ID phiên làm việc của Attacker thì khi click vào đường đẫn đấy nó sẽ chuyển hướng đến máy chủ ngân hàng và yêu cầu nhập tài khoản, mật khẩu vào như bước (4).

(5) Như vậy người dùng đã đăng nhập vào máy chủ của trang web ngân hàng với ID phiên làm việc là do Attacker ấn định trước. ID phiên của Attacker và ID phiên của người dùng thực chất là một.

(6) Attacker đăng nhập vào trang web ngân hàng bằng tài khoản của người dùng và thực hiện được các ý đồ như Attacker muốn.

Với kỹ thuật này thì Attacker có thể dễ dàng qua mặt được các máy chủ mặt dù đã kiểm tra ID phiên làm việc.

Hình 2.3: Nguyên lý tấn công ấn định phiên làm việc.

2.3.1.2Mt s bin pháp bo mt khc phc

Khuyến cáo người dùng phải biết tự bảo vệ mình là không được click vào những đường link không rõ nguồn gốc hay từ những người không rõ lai lịch để tránh tình trạng như ví dụ trên.

Khuyến cáo người dùng nên sử dụng tính năng thoát khỏi trình duyệt hay thoát khỏi máy chủ xóa hết những tập tin lưu trong bộ nhớ đệm như Cookie, tập tin lưu Session ID hay các thông tin người dùng.

Về máy chủ:

Không cho phép đăng nhập với một Session ID phiên làm việc có sẵn mà phải do máy chủ tự tạo mới ra.

Kết hợp Session ID với thông tin chứng thực đã được mã hóa SSL của người dùng

Thiết lập thời gian hết hiệu lực cho Session, tránh trường hợp Attacker có thể duy trì Session và sử dụng lâu dài..

Xóa bỏ những Session khi người dùng thoát khỏi hệ thống hay hết hiệu lực.

Một phần của tài liệu Luận văn tốt nghiệp an ninh mạng và bảo mật web (Trang 26)

(63 trang)