Isi kandungan:
Definisi - Apa yang dimaksudkan oleh Pengangkatan Sesi?
Rampasan sesi berlaku apabila token sesi dihantar ke pelayar klien dari pelayan Web berikutan pengesahan log masuk klien yang berjaya. Serangan rampasan sesi berfungsi apabila ia menjejaskan token dengan sama ada merampas atau meneka apa sesi token yang sah, dengan itu memperoleh akses tanpa izin ke pelayan Web. Ini boleh menyebabkan sesi menghidu, penyerang man-in-the-middle atau man-in-the-browser, Trojans, atau bahkan pelaksanaan kod JavaScript yang berniat jahat.
Pembangun laman web terutamanya berhati-hati terhadap rampasan sesi kerana kuki HTTP yang digunakan untuk mengekalkan sesi laman web boleh disandarkan oleh penyerang.
Techopedia menerangkan Pembajakan Sesi
Pada hari-hari awal, protokol HTTP tidak menyokong cookies dan oleh itu pelayan web dan penyemak imbas tidak mengandungi protokol HTTP. Evolusi pembongkaran sesi bermula pada 2000 apabila pelayan HTTP 1.0 dilaksanakan. HTTP 1.1 telah diubah suai dan dimodenkan untuk menyokong kuki super yang mengakibatkan pelayan web dan penyemak imbas Web menjadi lebih terdedah kepada rampasan sesi.
Pemaju web boleh membuat teknik tertentu untuk membantu mengelakkan rampasan sesi laman web mereka, termasuk kaedah penyulitan dan menggunakan lama, nombor rawak untuk kunci sesi. Penyelesaian lain adalah untuk mengubah permintaan nilai cookie dan melaksanakan regenerasi sesi selepas login. Firesheep, pelanjutan Firefox, telah membolehkan serangan rampasan pengguna awam dengan membenarkan akses kepada kuki peribadi. Laman web rangkaian sosial seperti Twitter dan Facebook juga terdedah apabila pengguna menambahkannya ke pilihan mereka.
