QQ乐园首页-提供最新QQ技术网以及QQ业务免费开通乐园网!

搜索

攻击会话管理系列-7

2017-9-4 14:07| 发布者: Hide| 查看: 167| 评论: 0

摘要: 在网络上泄露令牌 如果通过网络以非加密方式传送会话令牌,就会产生这方面的漏洞,允许处在适当位置的窃听者能够截获令牌并因此伪装戒合法用户。窃听的适蚩位置包括用户的本地网络、用户所在的IT部门、用户的ISP、因 ...

 在网络上泄露令牌
   如果通过网络以非加密方式传送会话令牌,就会产生这方面的漏洞,允许处在适当位置的窃听者能够截获令牌并因此伪装戒合法用户。窃听的适蚩位置包括用户的本地网络、用户所在的IT部门、用户的ISP、因特阿骨干阿、应用程序的ISP和运行应用程序组织的IT部门。处在上述任何
一个位置,相关组织的授权人员和任何攻破相关基础架构的外部攻击者都可以截取会话令牌。
  在最简单的情形中,应用程序使用一个非加密的HTTP连接进行通信。这使攻击者能够拦截客户端和服务器间传送的所有数据,包括登录证书、个人信息、支付细节等。这时,攻击者通常不必攻击用户的会话,因为攻击者已经可以查阅特权信息,并能蝣使用截获的证书登录,从而执
行其他恶意操作。然而,有些时候,用户的会话仍然是攻击者的主要攻击目标。例如,如果截获的证书不足以执行第二次登录(如银行应用程序可能要求登录者提交在不断变化的物理令牌上显示的一串数字,或者用户PIN号码巾的几个特殊数字),这时攻击者如果想执行任意操作,就必须劫持他窃听的会话。或者如果登录机制实施严格的审查,并且在每次成功登录后通知用户,那么攻击者可能希望避免自己登录,以尽可能保持活动的隐秘性。
  在其他情况下,使用HTTPS保护关键客户端一服务器通信的应用程序的会话令牌仍然可能在网络上遭到拦截。这种薄弱环节表现形式各异,其中有许多可能发坐在应用程序使用ffl7P cookie作为会话令牌传输机制时。
    口一些应用程序在登录阶段选择使用HTTPS保护用户证书的安全,但在用户会话的其他阶段转而使用HTTP。许多Web邮件应用程序以这种方式运作。在这种情况下,窃听者无法拦截用户的证书,但仍然可以截获会话令牌。Firefox的插件Firesheepl具会让这一过程变得轻而易举。
口一些应用程序在站点中预先通过验证的区域(如站点首页)使用FrrrP,但从登录页面开始转换到HTTPS。然而,许多时候,应用程序在用户访问第一个页面时就给他发布一个会话令牌,并且在用户登录时也不修改这个令牌。最初并未通过验证的用户会话在登录后却被升级为通过验证的会话。在这种情况下,窃听者就可以在登录前拦截用户的令牌,等待用户转换到HTTPS进行通信(表示用户正在登录)然后尝试使用那个令牌访问一个受保护的页面(如“我的账户”)。
口即使应用程序在用户成功登录后发布一个新令牌,并从登录页面开始使用HTTPS.但是,如果用户通过单击验证区域中的一个链接、使用“后退”按钮或者直接输AURL,重新访问一个预先验证的页面(如“帮助”或“关于”页面).用户通过验证的会话令牌仍有可能泄露。
口与前面的情况稍有不同,应用程序可能在用户单击登录链接后转换到HTTPS。然而,如果用户对URL进行相应修改,应用程序仍然接受通过HTTP进行登录。这时,处在适当位置的攻击者就珂以修改站点预先通过验证的区域返回的页面,使登录链接指向一个HrrP页面。即使应用程序在用户成功登录后发布一个新令牌,如果攻击者已成功将用户的链接降级为HTTP,他仍然能够拦截这个令牌。
口一些应用程序对应用程序内的全部静态内容(如图像、脚本、样式表和页面模板)使用HTTP。如果出现这种行为,用户的浏览器将显示一条警告消息,如图7-9所示。当浏览器显示此警告时,它已经通过HTTP获取了相关数据项,因而已经传送了会话令牌。浏览器显示警告是为了让用户拒绝处理已通过HTTP接收到并因此可能受到污染的响应数据。如前所述,如果用户的浏览器通过HTTP访问一个资源,并使用这个令牌通过HTTPS访问站点中受保护的非静态区域,攻击者就能拦截该用户的会话令牌。
   如果一个通过HTTPS访问的页面包含通过HIT嘞闸的数据,浏览器将显示一条警报消息
口即使应用程序在每一个页面(包括站点中未通过验证区域和静态内容)都使用HTTPS,有些情况下,用户的令牌仍然通过HTTP传送。如果攻击者能够以某种方式诱使用户通过HTTP提出一个请求(或者是请求相同服务器上运行的HTTP服务,或者是访问http://
  …….443/).那么用户就可能在这个过程中提交令牌。这时,攻击者可以采用的攻击手段包括在一封电子邮件或即时消息中给用户发送一个URL’在他控制的一个Web站点中插入一个自动加载的链接,或者使用可单击的横幅广告。
  (1)以正常方式访问应用程序,从第—个进入点(“起始”URL)开始,接着是登录过程,
然后是应用程序的全部功能。记录每一个被访问的URI以及收到新会话令牌的每种场合。


http://www.qqhello.net/
普及network security意识 
不要对network security一无所知

鲜花

握手

雷人

路过

鸡蛋
返回顶部