Home » » Hva er øktfiksering?

Hva er øktfiksering?

Det finnes mange forskjellige typer sikkerhetssårbarheter på nettsteder, en interessant kalles "Session Fixation". Sesjonsfiksering er et problem der en angriper kan påvirke øktidentifikatoren, også kjent som økt-ID-en til en bruker, og deretter bruke den til å få tilgang til kontoen sin. Det er to måter denne typen sårbarhet kan fungere på, den kan tillate angriperen enten å finne eller angi økt-IDen til en annen bruker.

Hvordan et øktfikseringsangrep utføres

Sesjons-IDen til en bruker er ofte en sentral del av autentiseringen til nettstedet og er i mange tilfeller de eneste dataene som identifiserer den spesifikke brukeren som er logget på. Problemet med dette er at hvis en angriper kan sette eller lære sesjons-IDen til en annen bruker, kan de bruke sesjonstoken og deretter kunne fungere som bruker.

Vanligvis gjøres dette ved å lure en bruker til å klikke på en type phishing-lenke. Selve koblingen er helt legitim, men inkluderer en variabel som angir en spesifisert sesjons-ID. Hvis brukeren deretter logger på med sesjons-IDen og serveren ikke tildeler dem en ny sesjons-ID ved pålogging, kan angriperen ganske enkelt sette sesjons-IDen til å være den samme og ha tilgang til offerets konto.

En annen måte angriperen kan finne offerets økt-ID på, er hvis den vises i en URL. For eksempel, hvis angriperen kan lure offeret til å sende dem en lenke og den inkluderer offerets sesjons-ID, kan angriperen bruke sesjons-IDen for å få tilgang til offerets konto. I noen tilfeller kan dette skje helt ved et uhell. For eksempel, hvis brukeren kopierer URL-en med økt-ID-en og limer den inn til en venn eller i et forum, vil enhver bruker som følger koblingen bli logget på med brukerens konto.

Utbedring av sesjonsfiksering

Det er noen få løsninger på dette problemet, og som alltid er den beste løsningen å implementere så mange rettelser som mulig som en del av en dybdeforsvarsstrategi. Den første løsningen er å endre brukerens sesjons-ID når de logger på. Dette forhindrer en angriper fra å kunne påvirke økt-IDen til en pålogget bruker. Du kan også konfigurere serveren til å bare akseptere sesjons-IDer som den har generert, og eksplisitt avvise alle brukeroppgitte sesjons-IDer.

Nettstedet bør konfigureres til aldri å plassere noen sensitive brukerdetaljer som økt-ID i URL-en og bør plassere den i en GET- eller POST-forespørselsparameter. Dette forhindrer brukeren i å kompromittere sin egen økt-ID ved et uhell. Ved å bruke både en sesjons-ID og en separat autentiseringstoken dobler du mengden informasjon angriperen trenger for å få og forhindrer angripere fra å få tilgang til økter med kjente økt-IDer.

Det er viktig at alle gyldige sesjons-ID-er for en bruker blir ugyldig når du klikker på utloggingsknappen. Det er mulig å regenerere økt-ID-en på hver forespørsel, hvis tidligere økt-ID-er er ugyldig, forhindrer dette også angripere fra å bruke kjent økt-ID. Denne tilnærmingen reduserer også trusselvinduet betydelig hvis en bruker avslører sin egen økt-ID.

Ved å aktivere flere av disse tilnærmingene, kan en dybdeforsvarsstrategi eliminere dette problemet som en sikkerhetsrisiko.


Leave a Comment

Rask Tips: Hvordan Se Kjøpshistorikken din på Google Play

Rask Tips: Hvordan Se Kjøpshistorikken din på Google Play

Se vår Google Play Kjøpshistorikk ved å følge disse nybegynnervennlige trinnene for å holde apputgiftene dine under kontroll.

Zoom: Hvordan legge til et videofilter

Zoom: Hvordan legge til et videofilter

Ha det moro i Zoom-møtene dine med noen morsomme filtre du kan prøve. Legg til en glorie eller se ut som en enhjørning i Zoom-møtene dine med disse morsomme filtrene.

Hvordan fremheve tekst i Google Slides

Hvordan fremheve tekst i Google Slides

Lær hvordan du fremhever tekst med farge i Google Slides-appen med denne trinn-for-trinn-veiledningen for mobil og datamaskin.

Samsung Galaxy Z Fold 5: Hvordan koble til PC

Samsung Galaxy Z Fold 5: Hvordan koble til PC

Samsung Galaxy Z Fold 5, med sitt innovative foldbare design og banebrytende teknologi, tilbyr ulike måter å koble til en PC. Enten du ønsker

Hvordan ta et skjermbilde på Galaxy Z Fold 5

Hvordan ta et skjermbilde på Galaxy Z Fold 5

Du har kanskje ikke alltid tenkt over det, men en av de mest utbredte funksjonene på en smarttelefon er muligheten til å ta et skjermbilde. Over tid har metode for å ta skjermbilder utviklet seg av ulike grunner, enten ved tillegg eller fjerning av fysiske knapper eller innføring av nye programvarefunksjoner.

Legg til en ny WhatsApp-kontakt ved å bruke en tilpasset QR-kode

Legg til en ny WhatsApp-kontakt ved å bruke en tilpasset QR-kode

Se hvor enkelt det er å legge til en ny WhatsApp-kontakt ved hjelp av din tilpassede QR-kode for å spare tid og lagre kontakter som en proff.

Viktige hurtigtaster for Microsoft PowerPoint

Viktige hurtigtaster for Microsoft PowerPoint

Lær å forkorte tiden du bruker på PowerPoint-filer ved å lære disse viktige hurtigtastene for PowerPoint.

Eksportere Kontakter fra Outlook og Importere til Gmail

Eksportere Kontakter fra Outlook og Importere til Gmail

Bruk Gmail som en sikkerhetskopi for personlig eller profesjonell Outlook-e-post? Lær hvordan du eksporterer kontakter fra Outlook til Gmail for å sikkerhetskopiere kontakter.

Hvordan slette bilder og videoer fra Facebook

Hvordan slette bilder og videoer fra Facebook

Denne guiden viser deg hvordan du sletter bilder og videoer fra Facebook ved hjelp av PC, Android eller iOS-enhet.

Facebook: Hvordan skjule gruppeinnlegg fra nyhetsfeeden

Facebook: Hvordan skjule gruppeinnlegg fra nyhetsfeeden

For å slutte å se innlegg fra Facebook-grupper, gå til den gruppens side, og klikk på Flere alternativer. Velg deretter Følg ikke lenger gruppe.