Satura rādītājs:
Definīcija - ko nozīmē sesijas nolaupīšana?
Sesijas nolaupīšana notiek, kad pēc veiksmīgas klienta pieteikšanās autentifikācijas no Web servera klienta pārlūkprogrammai tiek nosūtīts sesijas marķieris. Sesijas nolaupīšanas uzbrukums darbojas, ja tas kompromitē marķieri, konfiscējot vai uzminot, kāda būs autentiska marķiera sesija, tādējādi iegūstot neatļautu piekļuvi Web serverim. Tā rezultātā var notikt sesiju šņaukšana, uzbrukumi cilvēkam-pa vidu vai cilvēks-pārlūkā, Trojas zirgi vai pat ļaunprātīgu JavaScript kodu ieviešana.
Tīmekļa izstrādātāji sevišķi noraizējas par sesiju nolaupīšanu, jo uzbrucējs var iespējot HTTP sīkdatnes, kuras tiek izmantotas vietnes sesijas uzturēšanai.
Techopedia skaidro sesijas nolaupīšanu
Pirmajās dienās HTTP protokols neatbalstīja sīkfailus, tāpēc tīmekļa serveros un pārlūkprogrammās nebija HTTP protokola. Sesiju nolaupīšanas evolūcija sākās 2000. gadā, kad tika ieviesti HTTP 1.0 serveri. HTTP 1.1 ir modificēts un modernizēts, lai atbalstītu super sīkdatnes, kuru dēļ Web serveri un Web pārlūkprogrammas ir kļuvušas neaizsargātākas pret sesiju nolaupīšanu.
Tīmekļa izstrādātāji var izmantot noteiktas metodes, lai palīdzētu izvairīties no vietņu nolaupīšanas sesijās, ieskaitot šifrēšanas metodes un sesijas taustiņiem izmantojot garus, nejaušus numurus. Citi risinājumi ir sīkfailu vērtības pieprasījumu maiņa un sesiju reģenerācijas ieviešana pēc pieteikšanās. Firesheep, Firefox paplašinājums, ir ļāvis publiskai lietotāju sesijai nolaupīt uzbrukumus, atļaujot piekļuvi personīgajiem sīkfailiem. Sociālo tīklu vietnes, piemēram, Twitter un Facebook, ir arī neaizsargātas, kad lietotāji pievieno tās savām vēlmēm.
