كلیه اطلاعات این سایت مربوط به شركت طراحی سایت - شركت نرم افزاری بهپردازان می باشد


شركت نرم افزاری بهپردازان

موضوع مقاله : Session Fixation چيست؟ :

شرح :

Session fixation حمله‌اي است که مستقيما هدف آن ربودن session معتبر يک کاربر است. براي اجراي اين حمله، مهاجم از مزيت وجود محدوديت در نرم افزارهاي تحت وب در رابطه با مديريت session ID استفاده‌ي لازم را مي‌برد. نرم افزار تحت وب بجاي صادر کردن يک session ID جديد، به کاربر اين اجازه را مي‌دهد تا با استفاده از session ID موجود خود را احزار هويت نمايد. در اين حمله مهاجم با دردست داشتن يک session ID معتبر، قرباني را به استفاده از آن هدايت مي‌کند. اگر مرورگر قرباني از اين session ID استفاده کند، مهاجم با علم به اين که کاربر از اين session ID استفاده مي‌کند، مي‌تواند براحتي session اعتباردهي شده کاربر را بربايد. يک حمله session fixation، نوعي از حمله session hijacking است. فرق بين اين دو حمله در آن است که در حمله session hijacking حمله با استفاده از سرقت session برقرار شده پس از Login کاربر صورت مي‌پذيرد در صورتي که حمله session fixation شروع حمله قبل از Login کاربر است. اين حمله با استفاده از تکنيک‌هاي مختلفي مي‌تواند اجرا شود. نوع تکنيک انتخاب شده توسط مهاجم بستگي به رفتار مرورگر مورد نظر با توکن‌هاي session دارد. در زير برخي از روش‌هاي رايج در اجراي حمله session fixation آورده شده است:

Session token در آرگومان URL
Session token در فرم مخفي
Session ID در کوکي