|
Linux Anwenden
Linux Desktop
Linux Server
Linux Schulungen
OpenOffice Überblick
OpenOffice Writer
OpenOffice Calc
OpenOffice Impress
OpenOffice Base
Desktop Workshop
Linux Einsteiger
Linux Installieren
Linux Administrieren
Samba Fileserver
Apache Webserver
Server Security
Perl Grundlagen
Perl Vertiefung
Perl und Datenbanken
Perl und CGI
Reguläre Ausdrücke
Linux Consulting
Referenzen
Impressum
Datenschutz
|
Session HijackingWas ist eigentlich Session Hijacking?Der Begriff Session Hijacking lässt sich generell in 2 Möglichkeiten aufgliedern. Der erste Bereich ist das Session Hijacking der URL. Da mittlerweile fast jede Webseite clientseitig eine SessionID hinterlegt, jedoch immer mehr Benutzer browserseitig Cookies verbieten, ist es notwendig, diese SessionID in die URL einzubetten. Der Angreifer muss nun eine Möglichkeit finden, die URL mit der SessionID des Benutzers auf seinem PC darzustellen. Dies kann durch mitschneiden des Netzwerkverkehrs erfolgen, oder durch das Einschleusen eines einfachen JavaScript Befehls beziehungsweise HTML-Tags, der in einer Webseite auf dem Webserver platziert wird. Falls es dem Angreifer durch fehlerhafte Absicherung des Webservers möglich ist, dessen Protokolldatei auszulesen gelangt er so ebenfalls an diese URL und SessionID´s. Die zweite Möglichkeit ist das Session Hijacking mit Cookies, wenn clientseitig die SessionID über Cookies hinterlegt wird. Es ist ebenfalls ein leichtes, die Sessioncookies mit einem JavaScript Befehl auf dem unsicheren Webserver auszulesen und/oder mit Hilfe eines Location-Tags an den Angreifer zu senden. Sicherheitsvorkehrungen zur Verhinderung von Session HijackingEines der wichtigsten Kriterien um ein Session Hijacking zu unterbinden ist die Gestaltung eines ordentlichen Generierungsmechanismus von SessionID´s. Die Einbeziehung der IP–Adresse, des Betriebssystems, Datum, Uhrzeit und der verwendeten Bildschirmauflösung, des Session Starts und ein zufällig generierter MD5 Hashwert macht es nahezu unmöglich diese SessionID zu erraten. Zusätzlich sollte die Länge der SessionID 30 Zeichen nicht unterschreiten. Zusätzlich sollten Groß- und Kleinschreibung und alphanummerische Werte gut gemischt werden. SessionID´s, die nicht sofort nach dem Beenden der Sitzung von der Webapplikation zerstört werden, bieten eine ausgezeichnete Angriffsfläche für Brute-Force-Attacken um die SessionID´s auszuspähen. Der Session Speicher sollte sofort nach Beenden der Sitzung gelöscht und ungültig gemacht werden. Auch zu lange eingestellte Session Timeouts können eine leichte Angriffsfläche bieten. © 2004 - 2015 Codecasters GmbH - Linux Support Rosenheim - Tel. 08031 / 79 68 739
|