Sadržaj:
Definicija - Što znači otmica sjednice?
Otmica sjednice događa se kada se token sesije šalje web pregledniku klijenta s web poslužitelja nakon uspješne provjere autentičnosti prijave klijenta. Napad otmice sesije djeluje kada kompromitira token ili oduzimanjem ili nagađanjem kakva će biti sesija autentičnih tokena, čime se dobiva neovlašteni pristup web poslužitelju. To može rezultirati njuškanjem sesija, napadima "čovjek u sredini" ili "čovjekom u pregledniku", Trojancima ili čak implementacijom zlonamjernih JavaScript kodova.
Web programeri posebno su oprezni zbog otmice sesija jer napadač može napajati HTTP kolačiće koji se koriste za održavanje sesije web mjesta.
Techopedia objašnjava otmicu sjednica
U ranim danima HTTP protokol nije podržavao kolačiće, pa stoga web poslužitelji i preglednici nisu sadržavali HTTP protokol. Evolucija otmice sesija započela je 2000. godine kada su implementirani HTTP 1.0 poslužitelji. HTTP 1.1 je modificiran i moderniziran kako bi podržao super kolačiće zbog kojih su web poslužitelji i web preglednici postali ranjiviji na otmice sesija.
Web programeri mogu upisati određene tehnike za pomoć u izbjegavanju otmica njihovih web mjesta, uključujući metode šifriranja i korištenje dugih, nasumičnih brojeva za ključeve sesije. Ostala rješenja su promjena zahtjeva vrijednosti kolačića i provođenje regeneracije sesija nakon prijave. Firesheep, proširenje Firefoxa, omogućio je napade otima javnih korisnika, dopuštajući pristup osobnim kolačićima. Web stranice društvenih mreža poput Twittera i Facebooka također su ranjive kada ih korisnici dodaju svojim preferencijama.
