Web sitelerinde bulunan birçok farklı türde güvenlik açığı vardır, bunlardan ilginç olanı “Oturum Sabitleme” olarak adlandırılır. Oturum sabitleme, bir saldırganın, bir kullanıcının oturum kimliği olan oturum tanımlayıcısını etkileyebileceği ve ardından hesabına erişmek için kullanabileceği bir sorundur. Bu tür bir güvenlik açığının çalışmasının iki yolu vardır, saldırganın başka bir kullanıcının oturum kimliğini bulmasına veya ayarlamasına izin verebilir.
Oturum sabitleme saldırısı nasıl yapılır?
Bir kullanıcının oturum kimliği genellikle web sitesinde kimlik doğrulamanın önemli bir parçasıdır ve çoğu durumda oturum açan belirli kullanıcıyı tanımlayan tek veridir. Bununla ilgili sorun, bir saldırganın başka bir kullanıcının oturum kimliğini ayarlayabilmesi veya öğrenebilmesi durumunda, oturum belirtecini kullanabilmesi ve ardından kullanıcı olarak hareket edebilmesidir.
Genellikle bu, bir kullanıcıyı bir tür kimlik avı bağlantısını tıklaması için kandırarak yapılır. Bağlantının kendisi tamamen yasaldır ancak belirli bir oturum kimliği ayarlayan bir değişken içerir. Kullanıcı daha sonra oturum kimliğiyle oturum açarsa ve sunucu onlara giriş yaptığınızda, saldırgan oturum kimliğini aynı olacak şekilde ayarlayabilir ve kurbanın kimlik bilgilerine erişebilir. hesap.
Saldırganın kurbanın oturum kimliğini bulmasının başka bir yolu, bir URL'de görünmesidir. Örneğin, saldırgan kurbanı kendisine bir bağlantı göndermesi için kandırabilirse ve kurbanın oturum kimliğini içeriyorsa, saldırgan kurbanın hesabına erişmek için oturum kimliğini kullanabilir. Bazı durumlarda, bu tamamen tesadüfen olabilir. Örneğin, kullanıcı oturum kimliğiyle URL'yi kopyalar ve bir arkadaşına veya bir foruma yapıştırırsa, bağlantıyı izleyen herhangi bir kullanıcı, kullanıcının hesabıyla oturum açacaktır.
Oturum sabitleme düzeltmeleri
Bu sorunun birkaç çözümü vardır ve her zaman olduğu gibi en iyi çözüm, derinlemesine savunma stratejisinin bir parçası olarak mümkün olduğunca çok sayıda düzeltme uygulamaktır. İlk çözüm, oturum açtıklarında kullanıcının oturum kimliğini değiştirmektir. Bu, bir saldırganın oturum açmış bir kullanıcının oturum kimliğini etkilemesini engeller. Ayrıca sunucuyu yalnızca kendi oluşturduğu oturum kimliklerini kabul edecek ve kullanıcı tarafından sağlanan oturum kimliklerini açıkça reddedecek şekilde yapılandırabilirsiniz.
Web sitesi, oturum kimliği gibi hassas kullanıcı ayrıntılarını URL'ye asla yerleştirmeyecek şekilde yapılandırılmalı ve bunu bir GET veya POST istek parametresine yerleştirmelidir. Bu, kullanıcının yanlışlıkla kendi oturum kimliğinden ödün vermesini önler. Hem oturum kimliği hem de ayrı bir kimlik doğrulama belirteci kullanarak, saldırganın elde etmesi gereken bilgi miktarını iki katına çıkarır ve saldırganların bilinen oturum kimliklerine sahip oturumlara erişmesini engellersiniz.
Bir kullanıcı için tüm geçerli oturum kimliklerinin, çıkış düğmesine tıklandığında geçersiz kılınması hayati önem taşır. Her istekte oturum kimliğini yeniden oluşturmak mümkündür, önceki oturum kimlikleri geçersiz kılınırsa bu, saldırganların bilinen oturum kimliğini kullanmasını da engeller. Bu yaklaşım, bir kullanıcı kendi oturum kimliğini ifşa ederse, tehdit penceresini de önemli ölçüde azaltır.
Bu yaklaşımların birçoğunu etkinleştirerek, derinlemesine bir savunma stratejisi, bu sorunu bir güvenlik riski olarak ortadan kaldırabilir.