การแก้ไขเซสชันคืออะไร?

เบ็ดเตล็ดDec 19, 2021
click fraud protection

มีช่องโหว่ด้านความปลอดภัยหลายประเภทที่พบในเว็บไซต์ ช่องโหว่หนึ่งที่น่าสนใจเรียกว่า "Session Fixation" การแก้ไขเซสชันเป็นปัญหาที่ผู้โจมตีสามารถมีอิทธิพลต่อตัวระบุเซสชันหรือที่เรียกว่ารหัสเซสชันของผู้ใช้ จากนั้นจึงใช้เพื่อเข้าถึงบัญชีของตน ช่องโหว่ประเภทนี้สามารถทำงานได้สองวิธี ซึ่งช่วยให้ผู้โจมตีค้นหาหรือตั้งค่า ID เซสชันของผู้ใช้รายอื่นได้

วิธีดำเนินการโจมตีการตรึงเซสชัน

รหัสเซสชันของผู้ใช้มักเป็นส่วนสำคัญของการรับรองความถูกต้องของเว็บไซต์ และในหลายกรณี จะเป็นข้อมูลที่ระบุเฉพาะผู้ใช้ที่เข้าสู่ระบบเท่านั้น ปัญหาคือถ้าผู้โจมตีสามารถตั้งค่าหรือเรียนรู้รหัสเซสชันของผู้ใช้รายอื่น พวกเขาสามารถใช้โทเค็นของเซสชันแล้วสามารถทำหน้าที่เป็นผู้ใช้ได้

โดยทั่วไป ทำได้โดยหลอกให้ผู้ใช้คลิกลิงก์ฟิชชิ่งประเภทหนึ่ง ลิงก์นั้นถูกต้องตามกฎหมายโดยสมบูรณ์ แต่มีตัวแปรที่กำหนดรหัสเซสชันที่ระบุ หากผู้ใช้เข้าสู่ระบบด้วย ID เซสชันและเซิร์ฟเวอร์ไม่ได้กำหนด ID เซสชันใหม่ให้กับผู้ใช้ เข้าสู่ระบบ ผู้โจมตีสามารถตั้งค่า ID เซสชันของพวกเขาให้เหมือนกันและเข้าถึงของเหยื่อได้ บัญชีผู้ใช้.

อีกวิธีหนึ่งที่ผู้โจมตีสามารถค้นพบ ID เซสชันของเหยื่อได้คือถ้ามันปรากฏใน URL ตัวอย่างเช่น หากผู้โจมตีสามารถหลอกล่อเหยื่อให้ส่งลิงก์และรวม ID เซสชันของเหยื่อด้วย ผู้โจมตีสามารถใช้ ID เซสชันเพื่อเข้าถึงบัญชีของเหยื่อได้ ในบางกรณีอาจเกิดขึ้นได้โดยบังเอิญ ตัวอย่างเช่น หากผู้ใช้คัดลอก URL ด้วยรหัสเซสชันและวางให้เพื่อนหรือในฟอรัม ผู้ใช้ที่ติดตามลิงก์จะถูกลงชื่อเข้าใช้ด้วยบัญชีของผู้ใช้

การแก้ไขการตรึงเซสชัน

มีวิธีแก้ปัญหาสองสามข้อสำหรับปัญหานี้ และเช่นเคย ทางออกที่ดีที่สุดคือการปรับใช้การแก้ไขให้มากที่สุดเท่าที่จะเป็นไปได้ซึ่งเป็นส่วนหนึ่งของกลยุทธ์การป้องกันในเชิงลึก วิธีแก้ปัญหาแรกคือเปลี่ยนรหัสเซสชันของผู้ใช้เมื่อลงชื่อเข้าใช้ ซึ่งจะป้องกันไม่ให้ผู้โจมตีมีอิทธิพลต่อรหัสเซสชันของผู้ใช้ที่เข้าสู่ระบบ คุณยังสามารถกำหนดค่าเซิร์ฟเวอร์ให้ยอมรับเฉพาะรหัสเซสชันที่สร้างขึ้นและปฏิเสธรหัสเซสชันที่ผู้ใช้ระบุอย่างชัดเจน

เว็บไซต์ควรได้รับการกำหนดค่าไม่ให้ใส่รายละเอียดผู้ใช้ที่ละเอียดอ่อน เช่น รหัสเซสชันใน URL และควรวางไว้ในพารามิเตอร์คำขอ GET หรือ POST ซึ่งจะป้องกันผู้ใช้จากการบุกรุก ID เซสชันของตนเองโดยไม่ได้ตั้งใจ การใช้ทั้ง ID เซสชันและโทเค็นการพิสูจน์ตัวตนแยกกัน คุณจะเพิ่มจำนวนข้อมูลที่ผู้โจมตีต้องการเป็นสองเท่าและป้องกันไม่ให้ผู้โจมตีเข้าถึงเซสชันด้วยรหัสเซสชันที่รู้จัก

จำเป็นอย่างยิ่งที่ ID เซสชันที่ถูกต้องทั้งหมดสำหรับผู้ใช้จะใช้งานไม่ได้เมื่อมีการคลิกปุ่มออกจากระบบ เป็นไปได้ที่จะสร้างรหัสเซสชันใหม่ในทุกคำขอ หากรหัสเซสชันก่อนหน้าไม่ถูกต้อง สิ่งนี้จะป้องกันผู้โจมตีจากการใช้ ID เซสชันที่รู้จัก วิธีการนี้ยังช่วยลดหน้าต่างการคุกคามลงอย่างมากหากผู้ใช้เปิดเผย ID เซสชันของตนเอง

กลยุทธ์การป้องกันในเชิงลึกสามารถขจัดปัญหานี้เนื่องจากความเสี่ยงด้านความปลอดภัยได้ด้วยการเปิดใช้วิธีการเหล่านี้หลายวิธี