Session Hijacking Saldırılarından Korunma Yöntemleri

Session Hijacking (Oturum Çalma) saldırıları, cookielerinizin (çerezler) ve kimlik doğrulama işlemi sırasında oluşan bilgilerin çeşitli yöntemlerle ele geçirilmesi işlemidir.

Nedir bu Cookie?

Cookielere kısaca tanımlama bilgileri diyebiliriz. Sunucu bilgisayar tarafından istemci bilgisayara yerleştirilen küçük boyutlu dosyalardır. Bu dosyalar, daha önce giriş yaptığınız bir web sitesine, diğer girişiniz esnâsında sistem tarafından tanınmanızı sağlar. Bu sâyede daha önce login olduğunuz bir sayfaya tekrar giriş yapmanız gerekmez.

Web uygulamalarının kodlanması sürecindeki hatalar, uygulamada bir çok güvenlik zâfyeti oluşmasına sebebiyet verir. Bu zâfiyetler neticesinde de çerezleriniz, üçüncü şahıslar tarafından ele geçirilebilir.

 

Session Hijacking Metodları

Bir oturum çalma saldırısının üç temel aşaması vardır;

  1. Bağlantı izlenir,
  2. Bağlantının senkronizasyonu bozulur,
  3. Paket enjekte edilir.

Uygulama ve ağ seviyesinde olmak üzere iki tip oturum çalma saldırısı mevcuttur.

Uygulama Seviyesinde Oturum Çalma Yöntemleri

  • Sniffer vâsıtasıyla ağ dinlenebilir.
  • Man in the Middle saldırısı düzenlenerek İstemci ve sunucu arasına girilebilir.
  • Browser ile web uygulaması arasına girilebilir. – Man in the Browser (truva atı yazılımıyla tarayıcı ayarları değiştirilerek SSL ile gerçekleşen trafik sonuçları bile elde edilebilir.)
  • Oturum sâbitleme veya Session/Token ID tahmin etme yöntemleri ile oturum anahtarı ele geçirilebilir.
  • XSS zâfiyeti, trojan ve birtakım javascript kodları ile istemciye saldırılabilir.

Ağ seviyesinde Session Hijacking

  • Blind Hijacking: Farklı ağda gerçekleşen bağlantılara ait TCP Sequence numarası tahmin edilmeye çalışılır. Saldırgan farklı ağda olduğu için ağı dinlemesi ve spoof edebilmesi mümkün değildir.
  • UDP Hijacking: Kurban, sunucuya bir UDP isteği yaptığında araya girmiş olan saldırgan, bu isteğe sunucudan önce yanıt verir veya sunucunun cevabını düşürür. Bu sâyede UDP paketine istediği veriyi ekleyebilir.
  • TCP/IP Hijacking: Hedef ile aynı ağda bulunan saldırgan, kurbanı taklit ederek doğru Sequence değerini buluncaya dek  sunucuya paketler yollar. Neticede Sequence ID’yi tahmin ederek oturumu ele geçirir.
  • RST Hijacking: Spoofing yöntemiyle doğru ACK numarası bulunup RST yollanır ve oturumun düşmesi sağlanır.
  • MITM: Ortadaki Adam saldırısı. Detaylı bilgi için diğer makalemize bakın. 
  • IP Spoofing: Başkası tarafında gönderiliyormuş gibi paket yollanmasıdır.

 

Korunma Yöntemleri

  • Güvenli HTTPS protokolü kullanmaya dikkat edin.
  • Tanımlama bilgilerinize sınırlama getirin.
  • Verileri, şifrelendirdikten sonra pakete dâhil edin.
  • JavaScript ve ActiveX Düzenlemeleri yapın.
  • Oturum bitiminde muhakkak logout olun. Her oturum için ayrı kimlik doğrulaması gerçekleştirin.
  • Oturum sâbitleme saldırılarına karşı her başarılı giriş sonrası yeni bir ID oluşturun.
  • Oturum anahtarınızın karmaşık ve uzun olmasına özen gösterin.
  • Oturum ve cookielerin süresini sınırlayın ve oturumun belirli bir süre sonunda zaman aşımına uğramasını sağlayın.
  • Oturum adedine sınırlama getirin.
  • Geçersiz Session ID mevcutsa brute force saldırılarına karşı hesabın bir süre kilitlenmesini sağlayın.
  • İstemci bilgisayarı güncel ve saldırılara karşı güvende tutun.
  • Sunucu bilgisayarı güncel tutun, erişimleri kısıtlayın ve hub yerine switch kullanın.
  • Oturum ID değerinin Query String’i olarak açık şekilde taşınmasının önüne geçin.
  • ARP zehirlemesi ve Spoofing’i ağ üzerinde engelleyen tedbirlere başvurun.
  • Kimlik doğrulamasını güvenilir hâle getirin. Kullanıcıları karmaşık parolalar girmeye zorlayın. Kerberos/VPN kullanın.
  • İnternet browserların belleğinde geçmiş/içerik/cookie/kimlik bilgisi saklamamaya çalışın.
  • Oturum bittiğinde yalnızca tarayıcıyı kapatmakla yetinmeyip gerçekten sistemden çıkış yaparak oturumu öldürün.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir