- FastestVPN
- حریم خصوصی و امنیت
- چگونه هکرها می توانند اعتبارنامه ها را با Session Hijacking سرقت کنند
چگونه هکرها می توانند اعتبارنامه ها را با Session Hijacking سرقت کنند
By نیک اندرسون بدون نظر دقیقه 4
هکرها فقط شخصیت های خیالی نیستند که شما در آنها دیده اید فیلم های هکری ایجاد شده تا به فیلم ها طرح داستانی بدهد، آنها بسیار یک تهدید هستند. بیش از هر زمان دیگری که انقلاب دیجیتال دستگاه ها و کاربران بیشتری را آنلاین می کند. برای این منظور، ما توجه شما را به آسیبپذیری دیگری که وجود دارد و قابل بهرهبرداری است جلب میکنیم.
Session چیست؟
ارتباطات اینترنتی مبتنی بر یک سری مبادلات است. اولین قدم برای برقراری ارتباط با وب سرور، دانستن آدرس مناسب است. وب سرور به میلیون ها مشتری خدمات ارائه می دهد، بنابراین باید شما را شناسایی کند تا بتواند یک صفحه وب را برای شما سرور کند، که اغلب برای شما منحصر به فرد است.
این کار با تولید توکنی که مختص شما و جلسه است انجام می شود. یک جلسه مدت زمان ارتباط شما با وب سرور است. HTTP (پروتکل انتقال ابرمتن) برای ارتباطات وب استفاده می شود، و از آنجا که یک پروتکل بدون حالت است، باید جلساتی ایجاد شود که بتواند کاربران را در میان چندین اتصال TCP دیگر شناسایی کند.
یک جلسه زمانی آغاز می شود که یک وب سرور شما را احراز هویت کند. هنگامی که به حساب بانکی یا حساب پلت فرم تجارت الکترونیک خود وارد می شوید، یک جلسه شروع می شود و تا زمانی که از سیستم خارج شوید یا برای مدتی غیرفعال بمانید فعال باقی می ماند.
چگونه Sessions را می توان ربود
جلسات را می توان به روش های مختلفی ربوده شد. مهاجم میتواند بستههای دادهای که بین شما و سرور وب در جریان است را شناسایی کرده و شناسه جلسه را بدزدد. این امکان در شبکه های Wi-Fi آسیب پذیر مانند نقاط دسترسی عمومی Wi-Fi وجود دارد. اگر هیچ رمزگذاری بین کلاینت و وب سرور وجود نداشته باشد، مهاجم میتواند حمله Man-in-the-Middle را با شنود کردن ارتباطات آغاز کند، اعتبارنامه و شناسه جلسه را بدزدد، سپس شما را در وب سرور جعل کند.
روش دیگر شامل تزریق اسکریپت های مخرب در مرورگر وب شما است. حمله در سمت مشتری نیست، بلکه در سمت سرور است. این به عنوان اسکریپت بین سایتی (XSS) شناخته می شود.
وقتی کاربر از وبسایتی استفاده میکند که توسط یک آسیبپذیری به خطر افتاده است یا مهاجم شما را فریب میدهد تا روی یک پیوند کلیک کنید، مهاجم میتواند کدی را برای مرورگر وب شما صادر کند که سپس در کنار شما اجرا میشود. هدف از این حمله سرقت کوکی های مرورگر است که حاوی اطلاعات جلسه هستند.
شناسه های جلسه به صورت تصادفی با استفاده از الگوریتم تولید می شوند. اگر یک الگوریتم ضعیف وجود داشته باشد، ممکن است مهاجم بتواند با استفاده از brute forcecing یک Session ID را پیش بینی و تولید کند. این روش می تواند برای پیش بینی کلید جلسه فعال شما استفاده شود.
نحوه جلوگیری از ربودن جلسه
اقداماتی وجود دارد که می توانید برای جلوگیری از قربانی شدن از دست دادن اطلاعات شخصی یا مالی انجام دهید.
اولا، شما باید همیشه استفاده کنید HTTPS نسخه وب سایت ها این یک نسخه امن از http است که از رمزگذاری برای ایمن سازی ارتباط بین مشتری و سرور استفاده می کند. امروزه اکثر وب سایت ها از ارتباط https استفاده می کنند که می توانید با بررسی قفل سبز در URL مرورگر وب آن را تأیید کنید. اما متأسفانه بسیاری از وب سایت ها کاربر را به نسخه https هدایت نمی کنند یا نمی کنند.
اگر وب سایتی از https استفاده نمی کند، هرگز نباید اطلاعات شخصی خود را وارد کنید.
یک آنتی ویروس قابل اعتماد نصب کنید که می تواند بدافزار را ریشه کن کند. به طور بالقوه می تواند کوکی های مرورگر وب را کنترل کرده و بدون اطلاع شما به مهاجم تحویل دهد. همچنین اگر بخواهید لینک های مخرب را باز کنید به شما هشدار می دهد.
هات اسپات های عمومی وای فای به دلیل ضعف امنیت شبکه های آسیب پذیر هستند. این امنیت می تواند توسط یک مهاجم برای انجام حملات Man-in-the-Middle با معرفی به عنوان یک نقطه دسترسی قابل اعتماد مورد سوء استفاده قرار گیرد. FastestVPN از رمزگذاری 256 بیتی AES برای ایمن سازی ارتباطات استفاده می کند. این رمزگذاری درجه نظامی است که شکستن آن تقریباً غیرممکن است، بنابراین به شما امکان می دهد بدون ترس از سرقت، داده ها را از طریق اینترنت ارسال کنید.
نتیجه
علاوه بر رمزگذاری قوی، FastestVPN همچنین دارای محافظت ضد بدافزار و Ad-Blocker است. حفاظت ضد بدافزار وب سایت ها را در برابر وب سایت های مخرب بررسی می کند و مانع از بازگشت آنها می شود.
در نهایت، همیشه در مورد کلیک کردن روی پیوندهای ناشناخته هوشیار باشید، آنها اغلب تلاش های فیشینگ برای سرقت اطلاعات هستند. و همیشه هنگام برقراری ارتباط آنلاین اطلاعات حساس از رمزگذاری استفاده کنید.
امروز کنترل حریم خصوصی خود را در دست بگیرید! رفع انسداد وبسایتها، دسترسی به پلتفرمهای پخش جریانی و دور زدن نظارت ISP.
گرفتن FastestVPNمعامله یک عمر را برای $ 40!
- بیش از 800 سرور برای محتوای جهانی
- سرعت 10 گیگابیت بر ثانیه برای تاخیر صفر
- WireGuard امنیت VPN قوی تر
- محافظت دو برابر سرور VPN
- محافظت از VPN برای حداکثر 10 دستگاه
- سیاست بازپرداخت کامل 31 روزه