सेशन हाइजैकिंग तब होती है जब क्लाइंट लॉगऑन के सफल प्रमाणीकरण के बाद वेब सर्वर से क्लाइंट ब्राउज़र को सेशन टोकन भेजा जाता है। सेशन हाइजैकिंग अटैक तब काम करता है जब यह टोकन को जब्त करके या अनुमान लगाकर कि प्रामाणिक टोकन सेशन क्या होगा, वेब सर्वर तक अनधिकृत पहुँच प्राप्त करके काम करता है। इसके परिणामस्वरूप सेशन स्निफ़िंग, मैन-इन-द-मिडल या मैन-इन-द-ब्राउज़र अटैक, ट्रोजन या यहाँ तक कि दुर्भावनापूर्ण जावास्क्रिप्ट कोड का कार्यान्वयन हो सकता है।
वेब डेवलपर्स सेशन हाइजैकिंग से विशेष रूप से सावधान रहते हैं क्योंकि वेबसाइट सेशन को बनाए रखने के लिए उपयोग की जाने वाली HTTP कुकीज़ को हमलावर द्वारा बूटलेग किया जा सकता है।
शुरुआती दिनों में, HTTP प्रोटोकॉल कुकीज़ का समर्थन नहीं करता था और इसलिए वेब सर्वर और ब्राउज़र में HTTP प्रोटोकॉल नहीं था। सेशन हाइजैकिंग का विकास 2000 में शुरू हुआ जब HTTP 1.0 सर्वर लागू किए गए। HTTP 1.1 को सुपर कुकीज़ का समर्थन करने के लिए संशोधित और आधुनिक बनाया गया है जिसके परिणामस्वरूप वेब सर्वर और वेब ब्राउज़र सेशन हाइजैकिंग के प्रति अधिक संवेदनशील हो गए हैं।
वेब डेवलपर्स अपनी साइटों के सत्र अपहरण से बचने में मदद करने के लिए कुछ तकनीकों को सूचीबद्ध कर सकते हैं, जिसमें एन्क्रिप्शन विधियां और सत्र कुंजियों के लिए लंबे, यादृच्छिक संख्याओं का उपयोग करना शामिल है। अन्य समाधान कुकी मूल्य अनुरोधों को बदलना और लॉगिन के बाद सत्र पुनर्जनन को लागू करना है। फायरशेप, एक फ़ायरफ़ॉक्स एक्सटेंशन, ने व्यक्तिगत कुकीज़ तक पहुंच की अनुमति देकर सार्वजनिक उपयोगकर्ता सत्र अपहरण हमलों को सक्षम किया है। ट्विटर और फेसबुक जैसी सोशल नेटवर्क वेबसाइटें भी असुरक्षित हैं जब उपयोगकर्ता उन्हें अपनी प्राथमिकताओं में जोड़ते हैं।
0 Comments