세션 하이재킹 예제

이전 공격 방법, 그 여전히 올 오랜 시간 동안 주위에 있을 것입니다., 세션 하이재킹은 절제된 위협, 랜 섬 등 더 큰 것 들에 의해 가려진, DDoS 공격 또는 은행 트로이 목마. 세션을 제어하는 더 우아하고 비효율적인 방법 중 하나는 SessionID를 추측하는 것입니다. 세션 하이재킹 공격은 유효한 세션 토큰을 훔치거나 예측하여 웹 서버에 무단으로 액세스하여 세션 토큰을 손상시킵니다. 세션 하이재킹은 TCP/IP의 제한사항으로 인해 가능하며, 이는 TCP/IP가 얼마나 광범위하고 확고해져 있기 때문에 쉽게 해결할 수 없습니다. 대신 이 기술 위에 보안 계층이 추가되어 위협을 제한하고 무효화합니다. 공격자는 클라이언트 측에서 실행되는 악성 코드 또는 프로그램을 사용하여 세션 토큰을 손상시킬 수 있습니다. 이 예제에서는 공격자가 XSS 공격을 사용하여 세션 토큰을 훔치는 방법을 보여 주며 있습니다. 공격자가 악의적인 JavaScript를 사용하여 피해자에게 조작된 링크를 보내면 피해자가 링크를 클릭하면 JavaScript가 실행되고 공격자가 만든 지침을 완료합니다. 그림 3의 예제에서는 XSS 공격을 사용하여 현재 세션의 쿠키 값을 표시합니다. 동일한 기술을 사용하여 공격자에게 쿠키를 보낼 특정 JavaScript 코드를 만들 수 있습니다. 브라우저 납치범은 쿠키에 저장된 정보를 훔칠 수 있습니다, 세션 ID를 포함, 다음 컴퓨터에서 무단 작업을 수행하는 데 사용.

예를 들어, 납치범 프로그램을 설치할 수 있습니다., 브라우저 도구 모음 또는 단순히 귀하의 개인 정보를 사이펀. 세션 하이재킹의 경우 악성 스크립트는 방문자의 세션 ID 또는 쿠키를 추적한 다음 악의적인 해커에게 전송합니다. 링크는 은행의 로그인 페이지를 가리키지만 악의적인 해커가 사용하고자 하는 SessionID도 포함되어 www.example.com/SessionID=I_want-your_money. 이 링크에서 계정에 로그인하여, 악의적 인 해커는 “I_want_your_money”로 세션 ID를 “고정”했다. 그는 이제 당신과 동시에 계정에 액세스하고, 돈을 청소하거나 다른 작업을 수행하는 데 사용할 수 있습니다. 세션 하이재킹, 또한 쿠키 사이드 재킹으로 알려진, 해커에게 온라인 계정에 대한 전체 액세스 권한을 부여합니다 중간 사람 공격의 또 다른 형태입니다.