ما هو تثبيت الجلسة؟

منوعاتDec 19, 2021
click fraud protection

هناك العديد من أنواع الثغرات الأمنية المختلفة الموجودة في مواقع الويب ، أحدها مثير للاهتمام يسمى "تثبيت الجلسة". يعد تثبيت الجلسة مشكلة حيث يمكن للمهاجم أن يؤثر على معرف الجلسة ويعرف أيضًا باسم معرف الجلسة للمستخدم ثم استخدامه للوصول إلى حسابه. هناك طريقتان يمكن أن يعمل بها هذا النوع من الثغرات الأمنية ، حيث يمكن أن تسمح للمهاجم إما بالعثور على معرّف الجلسة أو تعيينه لمستخدم آخر.

كيف يتم تنفيذ هجوم تثبيت الجلسة

غالبًا ما يكون معرف جلسة المستخدم جزءًا رئيسيًا من المصادقة على موقع الويب وهو في كثير من الحالات البيانات الوحيدة التي تحدد المستخدم المحدد الذي قام بتسجيل الدخول. تكمن المشكلة في ذلك في أنه إذا تمكن المهاجم من تعيين معرف جلسة مستخدم آخر أو التعرف عليه ، فيمكنه استخدام الرمز المميز للجلسة ومن ثم يكون قادرًا على التصرف كمستخدم.

عادةً ما يتم ذلك عن طريق خداع المستخدم للنقر فوق أحد أنواع ارتباط التصيد الاحتيالي. الرابط نفسه شرعي تمامًا ولكنه يتضمن متغيرًا يعين معرف جلسة محددًا. إذا قام المستخدم بتسجيل الدخول بعد ذلك باستخدام معرف الجلسة ولم يقم الخادم بتعيين معرف جلسة جديد له تسجيل الدخول ، يمكن للمهاجم ببساطة تعيين معرف الجلسة ليكون هو نفسه وله حق الوصول إلى الضحية الحساب.

هناك طريقة أخرى يمكن للمهاجم من خلالها اكتشاف معرف جلسة الضحية وهي ظهوره في عنوان URL. على سبيل المثال ، إذا تمكن المهاجم من خداع الضحية لإرسال رابط إليها ويتضمن معرف جلسة الضحية ، فيمكن للمهاجم استخدام معرف الجلسة للوصول إلى حساب الضحية. في بعض الحالات ، يمكن أن يحدث هذا تمامًا عن طريق الصدفة. على سبيل المثال ، إذا قام المستخدم بنسخ عنوان URL مع معرف الجلسة ولصقه في صديق أو في منتدى ، فسيتم تسجيل دخول أي مستخدم يتبع الرابط باستخدام حساب المستخدم.

علاجات تثبيت الجلسة

توجد بعض الحلول لهذه المشكلة ، وكما هو الحال دائمًا ، فإن أفضل حل هو تنفيذ أكبر عدد ممكن من الإصلاحات كجزء من استراتيجية دفاعية متعمقة. الحل الأول هو تغيير معرّف جلسة المستخدم عند تسجيل الدخول. هذا يمنع المهاجم من أن يكون قادرًا على التأثير في معرف الجلسة للمستخدم الذي قام بتسجيل الدخول. يمكنك أيضًا تكوين الخادم بحيث يقبل فقط معرفات الجلسات التي أنشأها ورفض أي معرفات جلسة يوفرها المستخدم بشكل صريح.

يجب تكوين موقع الويب بحيث لا يضع أبدًا أي تفاصيل حساسة للمستخدم مثل معرف الجلسة في عنوان URL ويجب وضعه في معلمة طلب GET أو POST. هذا يمنع المستخدم من اختراق معرف الجلسة الخاص به عن طريق الخطأ. باستخدام معرّف الجلسة ورمز المصادقة المنفصل ، فإنك تضاعف كمية المعلومات التي يحتاجها المهاجم لاكتساب ومنع المهاجمين من الوصول إلى الجلسات باستخدام معرفات جلسة معروفة.

من الضروري أن يتم إبطال جميع معرّفات الجلسات الصالحة للمستخدم عند النقر على زر تسجيل الخروج. من الممكن إعادة إنشاء معرّف الجلسة في كل طلب ، إذا تم إبطال معرّفات الجلسات السابقة ، فهذا أيضًا يمنع المهاجمين من استخدام معرّف الجلسة المعروف. يقلل هذا الأسلوب أيضًا من نافذة التهديد بشكل كبير إذا كشف المستخدم عن معرف الجلسة الخاص به.

من خلال تمكين العديد من هذه الأساليب ، يمكن لاستراتيجية الدفاع المتعمق القضاء على هذه المشكلة باعتبارها خطرًا أمنيًا.