28 Лют, 2023

Недостатнє закінчення строку дії сеансу

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Недостатнє закінчення строку дії сеансу відноситься до уразливості в веб-додатках, коли сеанс користувача залишається активним довше, ніж необхідно, навіть після того, як користувач вийшов з системи або сеанс повинен був закінчитися через неактивність. Це може дозволити зловмиснику перехопити сеанс користувача та отримати несанкціонований доступ до конфіденційної інформації чи виконувати дії від імені користувача. Недостатнє закінчення строку дії сеансу може бути скорочено як ISE.

Приклад уразливого коду на різних мовах програмування:


В PHP:

				
					session_start();
// set session variables
$_SESSION['username'] = "John";
$_SESSION['user_id'] = 123;
// set session timeout to 30 minutes
ini_set('session.gc_maxlifetime', 1800);
// check if session has timed out
if (isset($_SESSION['last_activity']) && time() - $_SESSION['last_activity'] > 1800) {
    // session has timed out, destroy session
    session_unset();
    session_destroy();
}
// update last activity time
$_SESSION['last_activity'] = time();

				
			


У цьому PHP-коді запускається сеанс і встановлюються змінні сеансу. Тайм-аут сеансу встановлюється рівним 30 хвилин з допомогою ini_set функція. Однак немає ніякої перевірки, щоб дізнатися, чи минув час очікування сеансу, крім перевірки last_activity змінна. Це означає, що зловмисник може перехопити сеанс після 30 хвилин бездіяльності.

• В Java:

				
					HttpSession session = request.getSession();
// set session attributes
session.setAttribute("username", "John");
session.setAttribute("user_id", 123);
// set session timeout to 30 minutes
session.setMaxInactiveInterval(1800);

				
			


У цій Java-коді сеанс створюється з використанням getSession метод проведення HttpServletRequest об'єкт. Атрибути сеансу встановлюються з допомогою HttpServletRequest метод. Тайм-аут сеансу встановлюється рівним 30 хвилин з допомогою setMaxInactiveInterval метод. Однак немає перевірки, щоб побачити, минув час очікування сеансу, що може дозволити зловмиснику перехопити сеанс після 30 хвилин бездіяльності.

• в Python:

				
					from flask import Flask, session, request
app = Flask(__name__)
# set session secret key
app.secret_key = b'_5#y2L"F4Q8z\n\xec]/'
# set session variables
session['username'] = "John"
session['user_id'] = 123
# set session timeout to 30 minutes
app.config['PERMANENT_SESSION_LIFETIME'] = 1800

				
			


У цьому коді на Python з використанням фреймворку Flask сеанс створюється з використанням session об'єкт. Змінні сеансу задаються з використанням словникової нотації. Тайм-аут сеансу встановлюється рівним 30 хвилин з допомогою PERMANENT_SESSION_LIFETIME змінна конфігурації. Однак немає перевірки, щоб побачити, минув час очікування сеансу, що може дозволити зловмиснику перехопити сеанс після 30 хвилин бездіяльності.

Приклади використання Недостатнього закінчення терміну дії сеансу

Session Hijacking:

Зловмисник може використовувати такий інструмент, як аналізатор пакетів, для перехоплення ідентифікатор сеансу користувача, який неправильно вийшов з веб-додатки. Потім зловмисник може використовувати цей ідентифікатор сеансу, щоб перехопити сеанс користувача та отримати несанкціонований доступ до конфіденційної інформації або виконати дії від імені користувача.

Заповнення облікових даних:

Зловмисник може використовувати список імен користувачів і паролів, отриманих в результаті витоку даних або з інших джерел, для автоматизації спроб входу в систему. Якщо користувач не вийшов з веб-додатки належним чином, а сеанс все ще активний, зловмисник може отримати несанкціонований доступ до облікового запису користувача.

Підробка міжсайтових запитів (CSRF):

Зловмисник може створити шкідливу веб-сторінку або електронний лист, містять приховану форму або посилання, які виконують дію у вразливому веб-додатку. Якщо користувач натискає на посилання або надсилає форму під час активного сеансу, дію буде виконано від його імені без його відома.

Фіксація сеансу:

Зловмисник може використовувати метод, званий фіксацією сеансу, для установки ідентифікатор сеансу користувача, який неправильно вийшов з веб-додатки. Потім зловмисник може використовувати цей ідентифікатор сеансу, щоб перехопити сеанс користувача та отримати несанкціонований доступ до конфіденційної інформації або виконати дії від імені користувача.

Методи підвищення привілеїв при недостатньому закінчення терміну дії сеансу

Фіксація сеансу:

Як згадувалося раніше, зловмисник може використовувати фіксацію сеансу для установки ідентифікатор сеансу користувача, який неправильно вийшов з веб-додатки. Встановивши для ідентифікатор сеансу відоме значення, зловмисник може дочекатися, поки користувач увійде у систему, використовуючи цей ідентифікатор сеансу, а потім перехопити сеанс, щоб отримати несанкціонований доступ до конфіденційної інформації або виконати дії від імені користувача.

Session Hijacking:

Зловмисник може використовувати такий інструмент, як аналізатор пакетів, для перехоплення ідентифікатор сеансу користувача, який неправильно вийшов з веб-додатки. Потім зловмисник може використовувати цей ідентифікатор сеансу, щоб перехопити сеанс користувача та отримати несанкціонований доступ до конфіденційної інформації або виконати дії від імені користувача. Якщо захоплений сеанс має підвищені привілеї, зловмисник може підвищити свої власні привілеї і виконувати більш складні атаки.

Повтор сеансу:

Зловмисник може записати законний сеанс і відтворити його пізніше, щоб отримати несанкціонований доступ до тих же ресурсів. Це може бути можливо, якщо ідентифікатор сеансу передбачуваний або сеанс неправильно визнаний недійсним після використання. Зловмисник може використовувати цей метод для підвищення своїх привілеїв для доступу до конфіденційної інформації або виконання дій від імені жертви.

CSRF:

Зловмисник може використовувати підробку міжсайтових запитів (CSRF), щоб змусити увійшов в систему користувача виконувати дії з вразливим веб-додатком без його відома. Це може бути використано для підвищення привілеїв зловмисника шляхом зміни налаштувань користувача або виконання дій, на виконання яких користувач не уповноважений.

Загальна методологія та контрольний список із-за недостатнього закінчення терміну дії сеансу

Методологія:

  1. Ідентифікація додатка і його механізму аутентифікації: Визначте додаток, яке ви будете тестувати, і його механізм аутентифікації. Це включає в себе визначення сторінки входу в систему, механізму управління сеансом і параметрів таймауту сеансу.

  2. Спостерігайте за управлінням сеансом: Після того як ви визначили механізм управління сеансом, ви повинні почати спостерігати за поведінкою програми під час різних станів сеансу. Це включає в себе те, як створюється сеанс, як генерується ідентифікатор сеансу, як сеанс стає недійсним і що відбувається після закінчення часу очікування сеансу.

  3. Перевірка на закінчення терміну дії сеансу: Після ознайомлення з механізмом управління сеансом вам слід почати тестування на предмет закінчення терміну дії сеансу. Це включає в себе вхід в додаток, встановлення сеансу, а потім очікування закінчення терміну дії сеансу. Ви також повинні перевірити, що відбувається, коли користувач виходить з програми, закриває браузер або видаляє файли cookie.

  4. Тест на фіксацію сеансу: Потім ви повинні перевірити фіксацію сеансу, спробувавши встановити відомий ідентифікатор сеансу і дочекавшись, поки користувач увійде у систему, використовуючи цей ідентифікатор сеансу. Ви також повинні перевірити, відновлюється ідентифікатор сеансу після успішного входу в систему.

  5. Тест на перехоплення сеансу: Вам також слід перевірити перехоплення сеансу з допомогою аналізатора пакетів для перехоплення ідентифікатор сеансу користувача, який неправильно вийшов з програми. Потім ви повинні спробувати використовувати цей ідентифікатор сеансу для отримання несанкціонованого доступу до конфіденційної інформації або виконання дій від імені користувача.

  6. Тест на підвищення привілеїв: Нарешті, ви повинні протестувати підвищення привілеїв, намагаючись підвищити свої власні привілеї, використовуючи методи, описані раніше. Це включає в себе тестування на повторення сеансу, CSRF атаки та інші методи підвищення привілеїв.

Контрольний список:

  1. Визначте механізм управління сеансами, використовуваний додатком.

  2. Перевірте налаштування тайм-ауту сеансу і переконайтеся, що вони відповідають дійсності.

  3. Перевірте, що відбувається, коли користувач виходить з програми, закриває браузер або видаляє файли cookie.

  4. Перевірте поведінку після закінчення терміну дії сеансу, встановивши сеанс і дочекавшись його закінчення.

  5. Перевірте вразливості для фіксації сеансу, спробувавши встановити відомий ідентифікатор сеансу і дочекавшись, поки користувач увійде у систему, використовуючи цей ідентифікатор сеансу.

  6. Перевірте уразливості при перехопленні сеансів, використовуючи аналізатор пакетів для перехоплення ідентифікатор сеансу користувача, який неправильно вийшов з програми.

  7. Перевірте уразливості на предмет підвищення привілеїв, намагаючись підвищити свої власні привілеї, використовуючи методи, описані раніше.

  8. Переконайтеся, що ідентифікатори сеансів відновлюються після успішного входу в систему і що старі ідентифікатори сеансів недійсні.

  9. Перевірте ефективність механізму управління сеансами, спробувавши отримати доступ до ресурсів без дійсного посвідчення сеансу або з вичерпаним ідентифікатор сеансу.

  10. Використовуйте автоматичні інструменти для полегшення тестування, але завжди перевіряйте результати вручну.

  11. Документуйте і повідомляйте про будь-які виявлені вразливості відповідним сторонам.

  12. Перед повторним тестуванням переконайтеся, що уразливості усунені.

  13. Повторіть тестування, щоб переконатися, що уразливості були успішно усунені.

Набір інструментів для експлуатації Недостатнє закінчення строку дії сеансу

Ручні Інструменти:

  • Burp Suite: Популярний інструмент тестування веб-додатків, який включає в себе інструмент управління сеансами для тестування вразливостей закінчення терміну дії сеансу і виправлення.

  • Tamper Data: Надбудова Firefox, яка дозволяє переглядати і змінювати заголовки і параметри HTTP / HTTPS.

  • Wireshark: Аналізатор мережевих протоколів, який можна використовувати для збирання та перевірки мережевого трафіку, включаючи ідентифікатори сеансів.

  • Cookie Manager+: Надбудова для Firefox, яке дозволяє переглядати, редагувати, створювати, видаляти файли cookie.

  • Chrome Developer Tools: Вбудований інструмент в браузері Google Chrome, який дозволяє вам перевіряти і змінювати код веб-сторінки, включаючи файли cookie та ідентифікатори сеансів.

  • Fiddler: Безкоштовний проксі-сервер для веб-налагодження, який дозволяє перехоплювати і перевіряти трафік HTTP / HTTPS.

  • Zed Attack Proxy (ZAP): Безкоштовний інструмент тестування безпеки веб-додатків з відкритим вихідним кодом, який включає функцію управління сеансами для тестування вразливостей, пов'язаних з сеансом.

  • SQLMap: Популярний інструмент для тестування вразливостей SQL-ін'єкцій, який також можна використовувати для тестування вразливостей, пов'язаних з сеансом.

  • Netcat: Утиліта, яка може використовуватися для відправки і отримання мережевого трафіку, включаючи ідентифікатори сеансів.

  • Browser Console: Вбудований інструмент в більшості веб-браузерів, що дозволяє переглядати і змінювати код веб-сторінки, включаючи файли cookie та ідентифікатори сеансів.

Автоматизовані інструменти:

  • Acunetix: Сканер безпеки веб-додатків, який може виявляти і використовувати уразливості, пов'язані з сеансами.

  • OWASP ZAP: Автоматизований інструмент тестування безпеки веб-додатків, який включає функцію управління сеансом для тестування вразливостей, пов'язаних з сеансом.

  • AppScan: Автоматичний сканер безпеки веб-додатків, який може виявляти і використовувати уразливості, пов'язані з сеансами.

  • Netsparker: Автоматичний сканер безпеки веб-додатків, який може виявляти і використовувати уразливості, пов'язані з сеансами.

  • Arachni: Сканер безпеки веб-додатків з відкритим вихідним кодом, який може виявляти і використовувати уразливості, пов'язані з сеансами.

  • Nessus: Сканер вразливостей, який може виявляти і використовувати уразливості, пов'язані з сеансом.

  • Qualys: Хмарний сканер вразливостей, який може виявляти і використовувати уразливості, пов'язані з сеансами.

  • Metasploit: Платформа тестування на проникнення, яка включає модулі для використання вразливостей, пов'язаних з сеансом.

  • Core Impact: Інструмент тестування на проникнення, який включає в себе модулі для використання вразливостей, пов'язаних з сеансом.

  • Nikto: Сканер веб-сервера, який може виявляти і використовувати уразливості, пов'язані з сеансом.

Середній бал CVSS недостатнє закінчення строку дії сеансу стека

Оцінка CVSS уразливості, пов'язаної з недостатнім закінченням терміну дії сеансу, може змінюватись залежно від різних факторів, таких як серйозність уразливості, потенційний вплив на систему або програму і простота експлуатації. Однак, взагалі кажучи, недостатнє закінчення строку дії сеансу вважається уразливістю від помірного до високого ризику, і оцінки CVSS для цього типу уразливості можуть варіюватися від 4.0 до 9.0.

В Національній базі даних вразливостей (NVD) середній бал CVSS для вразливостей, пов'язаних з недостатнім закінченням терміну дії сеансу, становить 6,6 з 10,0, що вказує на те, що це серйозна уразливість, яку слід усунути негайно. Важливо відзначити, що це всього лише середній бал, і окремі уразливості можуть мати вищі або нижчі оцінки в залежності від конкретних обставин.

Загальна перерахування слабких місць (CWE)

CWE-613: недостатній термін дії сеансу: цей CWE описує уразливість, яка виникає, коли веб-додатком не вдається належним чином закінчитися токени сеансу.

• CWE-614: конфіденційний файл cookie сеансу HTTPS без атрибуту Secure: цей CWE виникає, коли файл cookie, який містить конфіденційні дані, передається по протоколу HTTPS, але не має встановленого атрибута "secure", який може дозволити зловмиснику перехопити файл cookie і отримати конфіденційні дані.

• CWE-319: Передача конфіденційної інформації відкритим текстом: цей CWE виникає, коли конфіденційна інформація передається небезпечним каналу, такого як незашифроване HTTP-з'єднання.

• CWE-311: відсутній шифрування конфіденційних даних: цей CWE виникає, коли конфіденційні дані зберігаються або передаються в незашифрованому форматі.

• CWE-362: стан гонки в потоці: це CWE може виникнути, коли декілька потоків одночасно звертаються до однієї і тієї ж інформації про сеанс, що може призвести до умов гонки і вразливостей, пов'язаних з сеансом.

• CWE-352: Підробка міжсайтових запитів (CSRF): цей CWE описує уразливість, яка виникає, коли веб-додатком не вдається належним чином перевірити запити користувачів, що може дозволити зловмисникам виконувати дії від імені користувача.

• CWE-614: конфіденційний файл cookie сеансу HTTPS без атрибуту Secure: цей CWE виникає, коли файл cookie, який містить конфіденційні дані, передається по протоколу HTTPS, але не має встановленого атрибута "secure", який може дозволити зловмиснику перехопити файл cookie і отримати конфіденційні дані.

• CWE-525: використання веб-сторінки з неправильно налаштованої або відсутньою аутентифікацією: цей CWE виникає, коли веб-додатком не вдається належним чином аутентифікувати користувачів, що може призвести до несанкціонованого доступу до конфіденційної інформації.

• CWE-601: перенаправлення URL-адреси на ненадійний сайт ("Відкрите перенаправлення"): це перенаправлення виникає, коли веб-додаток дозволяє використовувати ненадійний введення перенаправлення URL-адреси, що може призвести до перенаправлення користувачів на шкідливі сайти.

• CWE-601: перенаправлення URL-адреси на ненадійний сайт ("Відкрите перенаправлення"): це перенаправлення виникає, коли веб-додаток дозволяє використовувати ненадійний введення перенаправлення URL-адреси, що може призвести до перенаправлення користувачів на шкідливі сайти.

Топ-10 CVE, пов'язаних з недостатнім закінченням терміну дії сеансу

CVE-2023-0227 – Недостатнє закінчення строку дії сеансу в репозиторії GitHub pyload / pyload до версії 0.5.0b3.dev36.

CVE-2022-4070 – Недостатній термін дії сеансу в репозиторії GitHub librenms / librenms до 22.10.0.

CVE-2022-34392 – SupportAssist для домашніх ПК (версії 3.11.4 і вище) містить вразливість з недостатнім закінченням терміну дії сеансу. Аутентифікований користувач, який не є адміністратором, може отримати токен оновлення, що призводить до повторного використання токен доступу та отримання конфіденційної інформації.

CVE-2022-3362 – Недостатній термін дії сеансу в репозиторії GitHub ikus060 / rdiffweb до версії 2.5.0.

CVE-2022-31677 – У програмі Pinniped Supervisor була виявлена проблема з недостатнім закінченням терміну дії сеансу (до версії 0.19.0). Користувач, аутентифицирующийся в кластерах Kubernetes через Pinniped Supervisor, потенційно може використовувати токен доступу для продовження сеансу понад того, що може дозволити правильне використання їх токена оновлення.

CVE-2022-30277 – BD Synapsys ™, версії 4.20, 4.20 SR1 і 4.30, містять вразливість з недостатнім закінченням терміну дії сеансу. У разі використання зловмисники можуть отримати доступ, редагувати або видалити конфіденційну інформацію, включаючи захищену електронну медичну інформацію (ePHI), захищену медичну інформацію (PHI) і особисту інформацію (PII).

CVE-2022-2713 – Недостатній термін дії сеансу в репозиторії GitHub cockpit-hq / cockpit до версії 2.2.0.

CVE-2022-23063 – У Shopizer версії 2.3.0 за 3.0.1 уразливі з-за недостатнього закінчення терміну дії сеансу. Коли пароль було змінено користувачем чи адміністратором, користувач, який вже увійшов в систему, все одно буде мати доступ до додатка навіть після зміни пароля.

CVE-2022-22113 – У DayByDay CRM версії 2.2.0 за 2.2.1 (останні) уразливі з-за недостатнього закінчення терміну дії сеансу. Коли пароль було змінено користувачем чи адміністратором, користувач, який вже увійшов в систему, все одно буде мати доступ до додатка навіть після зміни пароля.

CVE-2022-2064 – Недостатній термін дії сеансу в репозиторії GitHub nocodb / nocodb до версії 0.91.7+.

Недостатнє закінчення строку дії сеансу подвиги

  • Фіксація сеансу: Цей експлойт припускає, що зловмисник встановлює ідентифікатор сеансу для цільового користувача, змушуючи його використовувати відомий ідентифікатор сеансу. Потім зловмисник може використовувати відомий ідентифікатор сеансу, щоб отримати доступ до облікового запису користувача.

  • Session Hijacking: Цей експлойт припускає, що зловмисник краде дійсний ідентифікатор сеансу у цільового користувача, зазвичай за допомогою аналізатора пакетів або інших методів перехоплення. Потім зловмисник може використовувати вкрадений ідентифікатор сеансу, щоб отримати доступ до облікового запису користувача.

  • Повтор сеансу: Цей експлойт припускає, що зловмисник записує сеанс користувача, а потім відтворює його пізніше, щоб отримати доступ до облікового запису користувача.

  • Обхід тайм-ауту сеансу: Цей експлойт припускає, що зловмисник обходить механізм тайм-ауту сеансу, щоб зберегти сеанс активним після його передбачуваного закінчення терміну дії.

  • CSRF (підробка міжсайтових запитів): Цей експлойт припускає, що зловмисник обманом змушує користувача виконати дію у веб-застосунку без його відома або згоди, зазвичай використовуючи існуючий сеанс.

  • Крадіжка файлів cookie: Цей експлойт припускає, що зловмисник краде файл cookie сеансу користувача, який може бути використаний для отримання доступу до облікового запису користувача.

  • Відтворення файлів cookie: Цей експлойт припускає, що зловмисник повторно використовує файл cookie сеансу, який вже використовувався користувачем, ефективно обходячи механізм аутентифікації.

  • Атака "Людина посередині" (MITM): Цей експлойт припускає, що зловмисник перехоплює трафік між користувачем і веб-додатком, дозволяючи їм перехоплювати файли cookie або іншу конфіденційну інформацію.

  • Підробка даних сеансу: Цей експлойт припускає, що зловмисник змінює дані, що зберігаються у сесії користувача, дозволяючи їм отримувати несанкціонований доступ до ресурсів або виконувати дії, на виконання яких вони не уповноважені.

  • Атаки грубої силою: Цей експлойт припускає, що зловмисник намагається вгадати дійсні ідентифікатор сеансу або іншу інформацію, пов'язану з сеансом, методом проб і помилок.

Практикуючись в тестуванні на Недостатнє закінчення строку дії сеансу

Налаштування тестового середовища: Створіть тестову середу, що імітує реальне веб-додаток, і використовуйте її для практичного тестування на наявність вразливостей з недостатнім закінченням терміну дії сеансу.

Використовуйте вразливі додатка: В Інтернеті є кілька вразливих веб-додатків, які можна використовувати для практичного тестування на наявність вразливостей з недостатнім закінченням терміну дії сеансу. Наприклад, до біса вразливе веб-додаток (DVWA) є популярним додатком для тестування безпеки веб-додатків.

Використовуйте інструменти: Використовуйте автоматичні інструменти, такі як Burp Suite, OWASP ZAP або Nessus, для пошуку вразливостей з недостатнім закінченням терміну дії сеансу в тестовій середовищі.

Ручне тестування: Проведіть ручне тестування, намагаючись використовувати уразливості з недостатнім закінченням терміну дії сеансу в середовищі, використовуючи такі методи, як фіксація сеансу, перехоплення сеансу і крадіжка файлів cookie.

Беріть участь в CTFs: Беріть участь у заходах Capture the Flag (CTF), присвячених безпеки веб-додатків, які часто включають проблеми, пов'язані з недостатньою кількістю вразливостей після закінчення терміну дії сеансу.

Читайте і практикуйте приклади: Прочитайте про уразливості з недостатнім закінченням терміну дії сеансу та методи їх використання, а також потренуйтеся на наведених прикладах. Веб-сайти, такі як WebGoat і OWASP Juice Shop, надають приклади та вправи для відпрацювання різних вразливостей веб-додатків, включаючи недостатній термін дії сеансу.

Для вивчення Недостатнього закінчення терміну дії сесії

OWASP Top Ten: Недостатній термін дії сеансу: На цій сторінці веб-сайту OWASP представлений огляд уязвімостей з недостатнім строком дії сеансу, включаючи поширені вектори атак та методи пом'якшення.

Керівництво хакера веб-додатків: Ця книга Девіда Штуттарда і Маркуса Пінто містить докладний безпека веб-додатків, включаючи уразливості з недостатнім закінченням терміну дії сеансу.

Чертовски вразливе веб-додаток (DVWA): DVWA - це вразливе веб-додаток, який можна використовувати для практичного тестування безпеки веб-додатків, включаючи тестування на уразливості з недостатнім закінченням терміну дії сеансу.

OWASP ZAP: Цей сканер безпеки веб-додатків з відкритим вихідним кодом, що включає в себе функції для тестування вразливостей з недостатнім закінченням терміну дії сеансу.

Burp Suite: Цей інструмент тестування безпеки веб-додатків включає функції для тестування вразливостей з недостатнім закінченням терміну дії сеансу.

Взломайте Коробку: Ця платформа надає віртуальні машини для відпрацювання навичок тестування на проникнення, включаючи тестування на уразливості з недостатнім закінченням терміну дії сеансу.

Веб-козел: Це свідомо небезпечне веб-додаток містить набір уроків для відпрацювання навичок безпеки веб-додатків, включаючи тестування на наявність вразливостей з недостатнім закінченням терміну дії сеансу.

SecurityTube: Цей веб-сайт надає безліч безкоштовних і платних курсів з безпеки веб-додатків, включаючи теми, пов'язані з уразливими місцями, пов'язаними з недостатнім закінченням терміну дії сеансу.

YouTube: Існує безліч каналів YouTube, які надають навчальні посібники і покрокові керівництва з тестування безпеки веб-додатків, включаючи тестування на уразливості з недостатнім закінченням терміну дії сеансу.

Конференції та заходи: Відвідуйте конференції та заходи з безпеки веб-додатків, таких як конференції OWASP, щоб дізнатися про останні тенденції і методи забезпечення безпеки веб-додатків, включаючи уразливості з недостатнім закінченням терміну дії сеансу.

Книги з відкликанням про недостатній закінчення терміну дії сеансу

"Керівництво хакера веб-додатків: пошук і використання недоліків безпеки" Дэфидд Штуттард і Маркус Пінто – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків і включає розділ про уразливості, пов'язаних з недостатнім закінченням терміну дії сеансу.

"Керівництво по тестуванню OWASP v4" проектом Open Web Application Security Project (OWASP) – В цьому посібнику представлений комплексний підхід до тестування безпеки веб-додатків, включаючи розділ, присвячений тестуванню на уразливості з недостатнім закінченням терміну дії сеансу.

"Безпека веб-додатків: керівництво для початківців" Брайан Салліван і Вінсент Лью – Ця книга являє собою введення в безпеку веб-додатків, включаючи розділ про уразливості, пов'язаних з недостатнім закінченням терміну дії сеансу.

"Пошук помилок в реальному світі: практичне керівництво по веб-хакінгу" Пітер Яворські – Ця книга являє собою практичне керівництво по пошуку і використанню вразливостей веб-додатків, включаючи недостатній термін дії сеансу.

"Освоєння сучасного веб-тестування на проникнення" автор: Прахар Прасад – У цій книзі розглядаються сучасні методи тестування безпеки веб-додатків, включаючи тестування на уразливості з недостатнім закінченням терміну дії сеансу.

"Основи веб-злому: інструменти і методи для атаки в Інтернеті" автор: Джош Паулі – Ця книга являє собою введення в тестування безпеки веб-додатків і включає розділ про уразливості, пов'язаних з недостатнім закінченням терміну дії сеансу.

"Кулінарна книга з тестування веб-безпеки" Пако Хоуп і Бен Вальтер – У цій книзі представлена колекція рецептів для тестування безпеки веб-додатків, включаючи розділ, присвячений тестуванню на уразливості з недостатнім закінченням терміну дії сеансу.

"Розширене тестування на проникнення: злом найбільш захищених мереж у світі" автор: Уіл Аллсопп – Ця книга являє собою посібник з передовим методам тестування на проникнення, включаючи тестування на уразливості з недостатнім закінченням терміну дії сеансу.

"Заплутана мережа: керівництво по забезпеченню безпеки сучасних веб-додатків" Михайло Залевський – У цій книзі розглядаються методи тестування безпеки веб-додатків, включаючи розділ про уразливості, пов'язаних з недостатнім закінченням терміну дії сеансу.

"Black Hat Python: програмування на Python для хакерів і пентестеров" автор: Джастін Зейтц – У цій книзі представлено керівництво з використання Python для злому і тестування на проникнення, включаючи розділ, присвячений тестуванню на уразливості з недостатнім закінченням терміну дії сеансу.

Список корисних навантажень Недостатнє закінчення строку дії сеансу

  • Атака на фіксацію сеансу: Це включає в себе установку ідентифікатор сеансу користувача перед його аутентифікацією, що дозволяє зловмисникові перехопити його сеанс.

  • Атака з передбаченням ідентифікатор сеансу: Це включає в себе прогноз ідентифікатор сеансу користувача шляхом аналізу алгоритму генерації ідентифікатор сеансу або методом перебору.

  • Атака з перехопленням сеансу: Це включає в себе крадіжку ідентифікатор сеансу користувача після того, як він пройшов аутентифікацію, що дозволяє зловмисникові видавати себе за користувача.

  • Атака з повторним відтворенням сеансу: Це включає в себе захоплення і відтворення дійсного сеансу для отримання доступу до веб-додатком.

  • Атака на відгук сеансу: Це включає в себе обхід механізму відкликання сеансу з використанням старого ідентифікатор сеансу.

  • Фіксація сеансу CSRF атаки: Це включає в себе використання уразливості підробки міжсайтових запитів (CSRF) для установки ідентифікатор сеансу жертви на відоме значення.

  • Мінімум сесії ін'єкційна атака: Це включає в себе впровадження шкідливих даних в змінну сеансу для виконання несанкціонованих дій.

  • Атака в обхід тайм-ауту сеансу: Це включає в себе обхід механізму тайм-ауту сеансу для підтримки сеансу після виходу користувача із системи.

  • Груба примусова атака токена сеансу: Це включає в себе грубе примусове використання токенів сеансу для отримання доступу до веб-додатком.

  • Атака "Людина посередині": Це включає в себе перехоплення зв'язку між користувачем і сервером для крадіжки ідентифікатора сеансу.

Як захиститися від недостатнього закінчення терміну дії сеансу

  1. Реалізувати тайм-аут сеансу: Встановіть розумний період очікування сеансу для автоматичного виходу користувачів з системи після певного періоду бездіяльності.

  2. Регенерувати ідентифікатори сеансів: Відновлюйте ідентифікатори сеансів після входу користувача в систему або зміни його статусу аутентифікації, щоб запобігти атакам з фіксацією сеансу.

  3. Використовуйте методи безпечного керування сеансами: Використовуйте методи безпечного керування сеансами, такі як шифрування, безпечні файли cookie і HTTPS, щоб запобігти перехоплення сеансу.

  4. Обмежити тривалість сеансу: Обмежте тривалість сеансу розумним періодом часу, щоб знизити ймовірність успішних атак.

  5. Використовуйте унікальні ідентифікатори сеансів: Використовуйте унікальні ідентифікатори сеансів, щоб запобігти атакам з передбаченням ідентифікатор сеансу.

  6. Використовуйте сильні генератори випадкових чисел: Використовуйте надійні генератори випадкових чисел для генерації ідентифікаторів сеансів, щоб запобігти атакам з передбаченням ідентифікатор сеансу.

  7. Використовуйте захист CSRF: Вбудуйте захист від підробки міжсайтових запитів (CSRF), щоб запобігти фіксацію сеансу CSRF-атак.

  8. Перевірка на наявність вразливостей: Проводите регулярне тестування безпеки для виявлення і усунення вразливостей, включаючи уразливості з недостатнім закінченням терміну дії сеансу.

  9. Використовуйте заголовки безпеки: Реалізуйте заголовки безпеки, такі як параметри Strict-Transport-Security (HSTS) та X-Content-Type-для підвищення безпеки веб-додатки.

  10. Навчайте співробітників: Навчіть співробітників передовим методам безпечного керування сеансами, включаючи відмову від спільного використання облікових даних, вихід з програми після завершення і використання безпечних паролів.

Висновок

Недостатнє закінчення строку дії сеансу це поширена уразливість в веб-додатках, яка може дозволити зловмиснику отримати несанкціонований доступ до облікового запису користувача або конфіденційних даних. Це відбувається, коли веб-додатком не вдається належним чином управляти життєвим циклом сеансу користувача, або не встановлюючи тайм-аут сеансу, використовуючи слабкі ідентифікатор сеансу, або не відновлюючи ідентифікатор сеансу після певних подій. Ця вразливість може бути використана зловмисниками для перехоплення сеансу або атаки з фіксацією сеансу, що може поставити під загрозу безпеку веб-додатки.

Для усунення вразливостей, пов'язаних з недостатнім закінченням терміну дії сеансу, важливо впровадити методи безпечного управління сеансом, такі як використання шифрування, безпечних файлів cookie і HTTPS, а також встановлення розумного періоду очікування сеансу. Також важливо повторно створювати ідентифікатори сеансів після певних подій, таких як зміна статусу входу в систему або автентифікації, і використовувати унікальні і надійні ідентифікатори сеансів. Впровадження захисту CSRF і двофакторної аутентифікації може додати додатковий рівень безпеки до процесу входу в систему. Регулярне тестування безпеки і навчання співробітників рекомендацій з безпечного управління сеансами також можуть допомогти запобігти цю вразливість.

Інші Послуги

Готові до безпеки?

зв'язатися з нами