Taula de continguts:
Definició: què significa Session Hijacking?
El segrest de sessió es produeix quan s'envia un testimoni de sessió a un navegador client des del servidor web després de l'autenticació amb èxit de sessió de client. Un atac de segrest de sessió funciona quan compromet el testimoni confiscant o endevinant com serà una sessió de testimoni autèntica, obtenint així accés no autoritzat al servidor web. Això pot donar lloc a atacs de sessió, atacs intermitjos o man-in-the-browser, troians o fins i tot implementació de codis JavaScript maliciosos.
Els desenvolupadors web es preocupen especialment pel segrest de les sessions perquè les cookies HTTP que s'utilitzen per mantenir una sessió del lloc web poden ser llançades per un atacant.
Techopedia explica el segrest de sessions
Els primers dies, el protocol HTTP no era compatible amb les galetes i, per tant, els servidors web i els navegadors no contenien protocol HTTP. L'evolució del segrest de sessions va començar l'any 2000 quan es van implementar servidors HTTP 1.0. L'HTTP 1.1 s'ha modificat i modernitzat per suportar super galetes, cosa que ha fet que els servidors web i els navegadors web siguin més vulnerables al segrest de sessions.
Els desenvolupadors web poden incloure determinades tècniques per evitar el segrest dels seus llocs, inclosos els mètodes de xifratge i l'ús de nombres llargs i aleatoris per a les tecles de sessió. Altres solucions són canviar les sol·licituds de valor de les galetes i implementar les regeneracions de sessió després de l'inici de sessió. Firesheep, una extensió de Firefox, ha permès segrestar atacs de sessió d'usuaris públics en permetre l'accés a les cookies personals. Els llocs web de xarxes socials com Twitter i Facebook també són vulnerables quan els usuaris els afegeixen a les seves preferències.
