您是否知道駭客可以代表您進行銀行轉帳或線上購物,而無需竊取您的登入資訊?我們將Cookie與網路上的追蹤和侵入性廣告連結起來,會話劫持但它們還儲存搜尋查詢,讓您無需輸入使用者名稱和密碼即可存取網站。
但是,如果有人攔截cookie,則可能會導致稱為會話劫持的災難性網路攻擊,這可能會將您的敏感資料落入攻擊者手中,並在您意識到發生了什麼之前造成大量損失。讓我們看看它是什麼以及如何預防它!
什麼是會話劫持?
在會話劫持中,攻擊者會攔截使用者和主機之間已建立的通訊會話,例如 Web 伺服器、Telnet 會話或任何其他基於TCP的連線。當您登入網站或應用程式阿富汗電話號碼庫(例如社交網站)時,會話就開始了。
只要您登入、查看個人資料或參與討論,它就會持續存在,並在您登出時結束。但是網頁伺服器如何知道您發出的每個請求實際上都是您本人發出的呢?這就是cookie派上用場的地方。登入後,您將憑證提交至網頁伺服器。它會驗證您的身份,會話劫持並使用 cookie 為您提供會話ID,該 cookie 將在會話期間與您綁定。這就是為什麼您每次訪問某人的個人資料時都不會離開該應用程序,以及為什麼即使您刷新頁面,會話劫持在線商店也會記住您放入購物車的商品。但是,如果攻擊者使用特殊的會話管理技術或竊取您的 cookie,他們就可以劫持您的會話。這樣,他們就可以欺騙 Web 伺服器,讓其相信請求來自您(授權使用者)。會話劫持現像在 2000 年代初就為人所知,但它仍然是駭客最常用的方法之一。最近的一個例子是 Lapsus$ 組織,該組織今年被列入 FBI 通緝名單。
會話捕獲的類型
根據攻擊者的意願,會話劫持可以分為兩大類。主動: 在主動攻擊中,攻擊者會劫持您的會話,從而剝奪合法用戶端與資源的連結。根據會話所在的站點,駭客可以進行線上購買、更改密碼或恢復帳戶。主動攻擊的常見範例是暴力破解、XSS甚至DDoS。
被動:在被動攻擊中,攻擊者不會劫持或修改會話。相反,它會悄悄監視您的設備和伺服器之間的資料流量,收集所有敏感資訊。IP 欺騙和惡意軟體注入通常用於實施被動攻擊。
會話劫持是如何運作的?
HTTP是一種無狀態協議,這意味著伺服器不記得客戶端的操作。會話劫持每個新的 HTTP 請求都與一個新的工作單元同時發生,或者,簡單地說,伺服器為客戶端的頁面提供服務,而不記住其先前的請求。然而,當我們瀏覽網頁時,我們意識到應用程式理想地知道客戶端是誰(甚至非常清楚!)。借助這個伺服器“內存”,可以創建網站、線上銀行、網路郵件服務等的現代保留區域。一:cookies。
有狀態會話
登入後,使用會話狀態的Web 應用程式會重置會話 cookie。會話劫持這意味著他們依靠此 cookie 來追蹤客戶。 cookie 中儲存有一個獨特的代碼,它允許您識別客戶端,例如:
任何擁有上述唯一ID或會話代碼的人都將成為伺服器經過身份驗證的客戶端。如果攻擊者能夠獲得這個ID,如下圖所示,什麼是電子郵件託管以及為什麼要使用它他將能夠使用最初為受害者確認的會話,或竊聽合法會話,甚至完全劫持它。此識別碼通常嵌入在 URL 中、某種表單的隱藏欄位或 cookie 中。
不保存資料的會
隨著網路的發展,會話劫持出現了允許您在不使用會話 cookie 的情況下管理伺服器「記憶體」的解決方案。在前端和後端完全分離並且僅透過API進行通訊的Web 應用程式中,最好的解決方案可能是 JWT(JSON Web Token)——一種允許前端使用後端提供的 API 的簽署令牌。通常,JWT 儲存在瀏覽器的 sessionStorage 中,這是客戶端在選項卡關閉之前保持活動狀態的記憶體區域。因此,當開啟新分頁時,會建立一個新會話(與 cookie 不同)。會話劫持透過竊取客戶端的 ID 令牌,您可以竊取其會話,從而實施會話劫持攻擊。但是要如何竊取這個令牌呢?目前,駭客最常採用以下手段:
側頂舉訓練
此方法使用不安全的網路來尋找您的會話 ID。攻擊者使用嗅探(特殊軟體),通常針對公共 Wi-Fi 或沒有 SSL 憑證的網站,這些網站以安全性低著稱。
錄製會話
受害者使用攻擊者建立的會話 ID。會話劫持這可以透過網路釣魚攻擊(透過惡意連結)「更正」您的會話 ID 來完成。
暴力破解
最費力且效率低的方法。在此攻擊期間,迴聲資料庫會話劫持駭客不會竊取您的 cookie。相反,它會嘗試所有可能的組合來猜測您的會話 ID。
XSS 或跨站腳本
駭客利用網站或應用程式中的漏洞注入惡意程式碼。當使用者造訪該網站時,腳本被激活,竊取使用者的cookie並將其發送給攻擊者。
惡意注入
惡意軟體可以在您的裝置上執行未經授權的操作以竊取個人資訊。此外,會話劫持它也經常被用來攔截cookie並向攻擊者發送訊息。
IP位址欺騙
網路犯罪分子會更改其封包的來源IP 位址,會話劫持使其看起來像是來自您。由於IP 位址被欺騙, Web 伺服器會認為是您,並且會話被劫持。
會話劫持範例
火羊
安全研究人員 Eric Butler和Ian Gallagher 在 2010 年創建的 Firefox 擴充功能 (Firesheep)強調了HTTPS的重要性以及未加密 WiFi 網路的危險。 Firesheep會話劫持 允許同一未加密 WiFi 網路上的人們竊聽彼此的非 HTTPS 活動。使用此功能,可以複製會話 cookie 並接管其他人的網路帳戶。儘管這樣做是為了提高安全性,會話劫持但它凸顯了一個正在醞釀中的漏洞,可能會給許多用戶帶來災難性的後果。反應積極,包括Facebook、Twitter(現為 X)等在內的許多網站已將 HTTPS 設為其預設連線協定。
駭客 帳戶
在整個 2021 年,這項cookie 竊盜活動針對的是擁有大量訂閱者的 YouTube 用戶。創建者收到網路釣魚電子郵件,這些電子郵件將他們引導至合法網站的危險副本。一些用戶陷入了這個騙局,最終將惡意軟體下載到他們的裝置 上,這幫助攻擊者竊取了他們YouTube帳戶的會話 cookie 。這最終導致他們的 YouTube 帳戶被劫持並用於非法目的,會話劫持例如加密貨幣詐騙。此外,一些帳戶在網路上黑市上以數千美元的價格出售,會話劫持具體價格取決於追隨者的數量。
捕蠅草
2021 年,FlyTrap 作為Android惡意軟體出現,會話劫持它透過引誘用戶使用 Facebook 憑證登入惡意應用程式來劫持Facebook 會話。 Google Play 商店中提供的惡意應用程式已被刪除。它使用了社會工程策略,例如贈送優惠券、會話劫持為他們最喜歡的足球隊投票等。所有內容都被傳送到 FlyTrap 伺服器,影響了 140 多個國家的 1 萬名用戶。