Session Fixation là một kỹ thuật tiến công web. Kẻ tấn công lừa người tiêu dùng sử dụng session ID sệt biệt. Sau khi người dùng đăng nhập vào áp dụng web bằng session ID được cung cấp, kẻ tiến công sử dụng session ID hòa hợp lệ này để giành quyền truy vấn vào thông tin tài khoản của fan dùng.Bạn đã xem: Session fixation là gì

1. Session Identifiers: Ưu, nhược điểm

Session identifiers (session ID) được sử dụng để xác thực người tiêu dùng trong những ứng dụng web. Công nghệ này gồm cả ưu và nhược điểm duy nhất định.

Bạn đang xem: Session fixation là gì

Bạn vẫn xem: Session fixation là gì

Ưu điểm: Nếu không tồn tại session ID, người dùng sẽ bắt buộc đăng nhập vào các ứng dụng web tiếp tục hơn thay bởi vì một lần vào một phiên làm việc.


*

Nhược điểm:

2. Biện pháp thức buổi giao lưu của cuộc tấn công Session Fixation


*

Một cuộc tiến công session fixation điển hình nổi bật được triển khai như sau:

Kẻ tiến công truy cập trang đăng nhập với nhận session ID do ứng dụng web tạo nên ra. Cách này hoàn toàn có thể bỏ quá nếu ứng dụng gật đầu đồng ý session ID bất kì.Nạn nhân truy vấn trang đăng nhập và đăng nhập vào ứng dụng. Sau khi xác thực, ứng dụng web dìm dạng người tiêu dùng qua session ID.Kẻ tiến công sử dụng mã session ID để truy vấn ứng dụng web, chiếm phiên cùng mạo danh nạn nhân. Các hành vi tiếp theo dựa vào vào kẻ tấn công và hào kiệt ứng dụng web.

3. Giải pháp chống lại Session Fixation

Nguyên nhân đa phần của session fixation là áp dụng web thiếu bảo mật và các cách thức lập trình khômg xuất sắc liên quan mang đến phần quản lý session:

Trường thích hợp tệ nhất, nhà cải tiến và phát triển không kiểm soát tính vừa lòng lệ của session ID. Vì đó, bất kỳ chuỗi nào (Hoặc chỉ cần thỏa mãn format như thế nào đó) rất có thể được hỗ trợ làm session ID. Điều này làm cho các cuộc tiến công session fixation trở đề nghị quá dễ dàng.Thông thường, các nhà cách tân và phát triển chỉ tạo nên session ID trước khi người dùng đăng nhập và không khi nào thay thay đổi nó. Đây là nguyên nhân điển hình của những cuộc tấn công session fixation.Nếu nhà phát triển chấp nhận ID phiên trường đoản cú GET hoặc POST request, bọn chúng sẽ khiến cho kẻ tấn công thuận lợi hơn trong việc cưỡng chế một session ID cho tất cả những người dùng.

Xem thêm: Thể Thức Thi Đấu Và Cách Tính Đối Đầu Trực Tiếp Trong Bóng Đá

Có một số biện pháp nhằm tránh session fixation:

Có thể thực hiện web vulnerability scanner để kiểm tra xem website hoặc ứng dụng web của công ty có ngẫu nhiên lỗ hổng session fixation nào không, dẫu vậy session fixation tương tự như như những lỗ hổng logic và rất khó để phát hiện tự động.