Hay cuatro métodos principales utilizados para perpetrar un secuestro de sesión. Estos son:
- Fijación de sesión, donde el atacante establece el identificador de sesión de un usuario en uno conocido, por ejemplo, enviando al usuario un correo electrónico con un enlace que contiene un identificador de sesión particular. El atacante ahora solo tiene que esperar hasta que el usuario inicie sesión.
- Sidejacking de sesión, donde el atacante usa la detección de paquetes para leer el tráfico de red entre dos partes para robar la cookie de sesión. Muchos sitios web usan el cifrado SSL para las páginas de inicio de sesión para evitar que los atacantes vean la contraseña, pero no usan el cifrado para el resto del sitio una vez autenticado. Esto permite a los atacantes que pueden leer el tráfico de la red interceptar todos los datos que se envían al servidor o las páginas web visitadas por el cliente. Dado que estos datos incluyen la cookie de sesión, le permite suplantar a la víctima, incluso si la contraseña en sí no se ve comprometida. [1] Los puntos de acceso Wi-Fi sin garantía son particularmente vulnerables, ya que cualquier persona que comparta la red generalmente podrá leer la mayor parte del tráfico web entre otros nodos y el punto de acceso.
- Secuencias de comandos entre sitios, donde el atacante engaña a la computadora del usuario para que ejecute un código que se considera confiable porque parece pertenecer al servidor, lo que permite al atacante obtener una copia de la cookie o realizar otras operaciones.
- El malware y los programas no deseados pueden usar el secuestro del navegador para robar los archivos de cookies de un navegador sin el conocimiento del usuario, y luego realizar acciones (como instalar aplicaciones de Android) sin el conocimiento del usuario. [2] Un atacante con acceso físico puede simplemente intentar robar la clave de sesión, por ejemplo, obteniendo el contenido del archivo o la memoria de la parte apropiada de la computadora del usuario o del servidor.
Referencia: secuestro de sesión
- ¿Cuáles son los mejores tutoriales gratuitos para Angular 4?
- ¿Cuáles son los mejores idiomas del lado del servidor para registrar las acciones de los clientes?
- ¿Cuáles son las empresas web más influyentes en Pennsylvania?
- Cómo crear un chatbot con React.js y Node.js
- ¿Cuáles son algunos sitios web como QVC y cómo se usan?