Veebisaitidelt on leitud palju erinevat tüüpi turvaauke, üks huvitav neist on "Session Fixation". Seansi fikseerimine on probleem, mille puhul ründaja saab mõjutada seansi identifikaatorit ehk kasutaja seansi ID-d ja seejärel kasutada seda oma kontole juurdepääsu saamiseks. Seda tüüpi haavatavus võib töötada kahel viisil: see võib lubada ründajal leida või määrata teise kasutaja seansi ID.
Kasutaja seansi ID on sageli veebisaidi autentimise võtmeosa ja paljudel juhtudel on see ainsad andmed, mis tuvastavad konkreetse sisseloginud kasutaja. Probleem on selles, et kui ründaja saab määrata või õppida teise seansi ID kasutaja, saavad nad seansimärki kasutada ja seejärel kasutajana tegutseda.
Tavaliselt tehakse seda nii, et kasutaja meelitatakse klõpsama teatud tüüpi andmepüügilingil. Link ise on täiesti seaduslik, kuid sisaldab muutujat, mis määrab kindlaksmääratud seansi ID. Kui kasutaja logib seejärel sisse seansi ID-ga ja server ei määra talle sisselogimisel uut seansi ID-d, saab ründaja lihtsalt määrata oma seansi ID samaks ja pääseda ligi ohvri kontole.
Teine viis, kuidas ründaja saab ohvri seansi ID avastada, on see, kui see kuvatakse URL-is. Näiteks kui ründaja saab petta ohvrit talle linki saatma ja see sisaldab ohvri seansi ID-d, saab ründaja kasutada seansi ID-d ohvri kontole juurdepääsuks. Mõnel juhul võib see juhtuda täiesti juhuslikult. Näiteks kui kasutaja kopeerib URL-i koos seansi ID-ga ja kleepib selle sõbrale või foorumisse, logitakse iga linki järgiv kasutaja sisse kasutaja kontoga.
Sellele probleemile on mõned lahendused ja nagu alati, on parim lahendus rakendada põhjaliku kaitse strateegia raames võimalikult palju parandusi. Esimene lahendus on muuta sisselogimisel kasutaja seansi ID-d. See hoiab ära selle, et ründaja ei saaks kunagi mõjutada sisselogitud kasutaja seansi ID-d. Samuti saate serveri konfigureerida nii, et see aktsepteeriks ainult enda loodud seansi ID-sid ja lükkaks selgesõnaliselt tagasi kõik kasutaja antud seansi ID-d.
Veebisait peaks olema konfigureeritud nii, et see ei pane kunagi URL-i tundlikke kasutajaandmeid (nt seansi ID-d) ja peaks paigutama selle GET- või POST-päringu parameetrisse. See takistab kasutajal kogemata oma seansi ID-d kahjustada. Kasutades nii seansi ID-d kui ka eraldi autentimisluba, kahekordistate ründajal vajaliku teabe hulka ja takistate ründajatel teadaolevate seansi ID-dega seanssidele juurdepääsu.
On oluline, et kõik kehtivad kasutaja seansi ID-d tühistataks väljalogimisnupule klõpsamisel. Seansi ID on võimalik uuesti genereerida iga päringu korral. Kui eelmised seansi ID-d on kehtetud, takistab see ka ründajatel teadaoleva seansi ID kasutamist. See lähenemisviis vähendab oluliselt ka ohuakent, kui kasutaja avalikustab oma seansi ID.
Lubades mitut neist lähenemisviisidest, võib süvendatud kaitsestrateegia selle probleemi kui turvariski kõrvaldada.
Kas olete kunagi kulutanud aega Facebooki postituse loomisele, kuid ei leidnud mustandit? Siit leiate kõik vajalikud teadmised, et Facebooki mustandite leidmine oleks lihtne ja mugav.
Internetis navigeerimine tundub sageli nagu reis teadmiste piiritusse ookeani, kus teie lemmikveebisaidid ja -veebilehed on tuttavad
Kasutage Microsoft Edge Dropi ja jagage hõlpsalt faile ja sõnumeid seadmete vahel, järgides neid algajasõbralikke samme.
Vaadake, kui lihtne on arvutis ja Android-seadmes Google Mapsis marsruute salvestada ja jagada. Vaadake neid algajasõbralikke samme.
Funktsiooniga seotud probleemide lahendamiseks ja kasutamata vahelehtede uuesti laadimise vältimiseks lülitage Google Chrome'is mälusäästja välja.
Kas otsite elujõulist võimalust veebisaidi hostimiseks? Siit saate teada, mis vahe on pühendatud serveri ja jagatud hostimisserveri vahel.
Google Chromesi inkognito režiim on mugav funktsioon, mis võimaldab teil sirvida Internetti ilma sirvimisajalugu salvestamata. Siiski üks puudus
Mulle meeldib oma naabreid lõbustada, muutes oma WiFi-võrgu erinevate naljakate nimede vastu. Kui otsite ideid naljaka WiFi-nime jaoks, siis siin
Sügav linkimine on populaarsust koguv kasutajate ümbersuunamise tehnika. Siit leiate teavet sügava linkimise kohta, et kasutada seda oma veebisaidi või rakenduse liikluse suurendamiseks.
AR on meelelahutuse, töö või äri jaoks Internetis järgmine suur asi. Õppige üksikasjalikult AR-pilve, et saada teadlikuks kasutajaks.
